Buletin keamanan

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Pembaruan 18-07-2024: Versi asli buletin ini salah menyatakan bahwa cluster Autopilot terdampak. cluster Autopilot di konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menyetel profil seccomp Unconfined atau mengizinkan kemampuan CAP_NET_ADMIN.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 19-07-2024: Versi GKE berikut berisi kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Pembaruan 03-07-2024: Peluncuran yang dipercepat sedang berlangsung dan akan diharapkan membuat versi {i>patch<i} baru tersedia di semua zona dengan 3 Juli 2024 pukul 17.00 Waktu Musim Panas Pasifik Kanada dan Amerika Serikat (UTC-7). Kepada segera dapatkan notifikasi setelah patch tersedia untuk cluster tertentu, gunakan notifikasi cluster.

Update 02-07-2024: Kerentanan ini memengaruhi kedua mode Autopilot serta cluster mode Standar. Setiap bagian selanjutnya akan memberi tahu Anda mode untuk bagian mana yang berlaku.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi.

Semua versi image Container Optimized OS dan Ubuntu yang didukung di GKE menjalankan versi OpenSSH yang rentan terhadap masalah ini.

Cluster GKE dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani dengan prioritas tertinggi untuk mitigasi.

Bidang kontrol GKE tidak rentan terhadap masalah ini.

Apa yang harus saya lakukan?

Update 03-07-2024: Versi patch untuk GKE

Peluncuran yang dipercepat sedang berlangsung dan diperkirakan akan membuat versi patch baru tersedia di semua zona mulai 3 Juli 2024 pukul 17.00 AS dan Waktu Musim Panas Pasifik Kanada (UTC-7).

Cluster dan node yang mengaktifkan upgrade otomatis akan mulai diupgrade seiring berjalannya minggu, tetapi karena tingkat keparahan kerentanan, sebaiknya lakukan upgrade secara manual mendapatkan {i>patch<i} secepat mungkin.

Untuk klaster Autopilot dan Standar, mengupgrade bidang kontrol ke versi yang telah di-patch. Selain itu, untuk cluster mode Standar, mengupgrade kumpulan node Anda ke versi yang telah di-patch. Cluster Autopilot akan mulai mengupgrade node Anda agar sesuai versi bidang kontrol sesegera mungkin.

Versi GKE yang di-patch tersedia untuk setiap versi yang didukung guna meminimalkan perubahan yang diperlukan untuk menerapkan {i>patch<i}. Nomor versi untuk setiap versi baru adalah kenaikan pada digit terakhir pada nomor versi yang sesuai dengan versi yang ada. Misalnya, jika Anda menggunakan 1.27.14-gke.1100000, Anda akan mengupgrade ke 1.27.14-gke.1100002 ke mendapatkan perbaikan dengan perubahan sekecil mungkin. GKE berikut yang di-patch versi yang tersedia:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Untuk memeriksa apakah patch tersedia di zona atau region cluster Anda, jalankan perintah berikut berikut:

gcloud container get-server-config --location=LOCATION

Ganti LOCATION dengan zona atau region Anda.

Pembaruan 02-07-2024: Mode Autopilot dan mode Standard cluster harus diupgrade sesegera mungkin setelah versi patch tersedia.

Versi GKE yang di-patch yang menyertakan OpenSSH yang telah diupdate akan dibuat tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk channel Anda, mengaktifkan notifikasi cluster. Sebaiknya lakukan langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang disebutkan, sesuai kebutuhan.

Menentukan apakah node Anda memiliki alamat IP publik

Update 02-07-2024: Bagian ini berlaku untuk Autopilot dan Cluster standar.

Jika cluster dibuat dengan enable-private-nodes, node akan bersifat pribadi, yang mengurangi kerentanan dengan menghilangkan eksposur ke Internet. Jalankan perintah berikut untuk menentukan apakah cluster Anda telah mengaktifkan node pribadi:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Jika nilai yang ditampilkan adalah True, semua node adalah node pribadi untuk cluster ini dan kerentanan dapat dimitigasi. Jika nilai kosong atau salah (false), lanjutkan untuk menerapkan salah satu mitigasi di bagian berikut.

Untuk menemukan semua cluster yang awalnya dibuat dengan node publik, gunakan kueri Inventaris Aset Cloud ini dalam proyek atau organisasi:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Jangan izinkan SSH ke node cluster

Update 02-07-2024: Bagian ini berlaku untuk Autopilot dan Cluster standar.

Jaringan default sudah diisi otomatis dengan aturan firewall default-allow-ssh untuk mengizinkan akses SSH dari internet publik. Untuk menghapus akses ini, Anda dapat:

• Jika ingin, buat aturan untuk mengizinkan akses SSH yang Anda perlukan dari jaringan tepercaya ke node GKE atau VM Compute Engine lainnya dalam project.
• Nonaktifkan aturan firewall default dengan perintah berikut:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Jika Anda telah membuat aturan {i>firewall<i} lain yang mungkin mengizinkan SSH melalui TCP pada porta 22, menonaktifkannya, atau membatasi IP sumber ke jaringan yang tepercaya.

Memastikan bahwa Anda tidak dapat lagi melakukan SSH ke node cluster dari Internet. Konfigurasi {i>firewall<i} ini mengurangi kerentanan.

Mengonversi kumpulan node publik menjadi pribadi

Update 02-07-2024: Untuk cluster Autopilot yang awalnya dibuat sebagai cluster publik, Anda dapat menempatkan workload di node pribadi dengan menggunakan nodeSelectors. Namun, node Autopilot yang menjalankan beban kerja sistem pada cluster yang awalnya yang dibuat sebagai cluster publik akan tetap menjadi {i>node<i} publik dan harus dilindungi dengan menggunakan perubahan {i>firewall<i} yang dijelaskan di bagian sebelumnya.

Untuk melindungi cluster yang awalnya dibuat dengan node publik secara optimal, sebaiknya Anda terlebih dahulu melarang SSH melalui {i>firewall<i} seperti yang telah dijelaskan. Jika Anda tidak dapat melarang menerapkan SSH melalui aturan firewall, Anda dapat mengonversi node pool publik di GKE Cluster standar menjadi pribadi dengan mengikuti panduan ini untuk mengisolasi kumpulan node.

Mengubah konfigurasi SSHD

Update 02-07-2024: Bagian ini hanya berlaku untuk Standard klaster. Workload autopilot tidak diizinkan untuk mengubah konfigurasi node.

Jika tidak satu pun dari mitigasi ini dapat diterapkan, kami juga telah memublikasikan daemonset yang menetapkan LoginGraceTime SSHD ke nol, dan memulai ulang daemon SSH. Ini {i>daemonset<i} dapat diterapkan ke cluster untuk memitigasi serangan. Perhatikan bahwa konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah akses SSH. Daemonset ini harus dihapus setelah patch diterapkan.

Update 11-07-2024: Versi software GDC berikut untuk VMware telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade workstation admin Anda, ke cluster admin, dan cluster pengguna (termasuk kumpulan node) ke salah satu versi atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade cluster atau kumpulan node.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

Pembaruan 02-07-2024 pada buletin ini salah menyatakan bahwa semua versi yang didukung image Ubuntu pada perangkat lunak GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini. Gambar Ubuntu pada perangkat lunak GDC untuk VMware versi 1.16 cluster menjalankan versi OpenSSH yang tidak rentan terhadap masalah ini. Ubuntu image dalam software GDC untuk VMware 1.28 dan 1.29 rentan. Image OS yang Dioptimalkan dengan Container pada semua versi Software GDC untuk VMware rentan terhadap masalah ini.

Update 02-07-2024: Semua versi Container-Optimized OS yang didukung dan image Ubuntu pada software GDC untuk versi VMware yang menjalankan OpenSSH yang rentan terhadap masalah ini.

Software GDC untuk cluster VMware dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani sebagai prioritas tertinggi untuk mitigasi.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: Software GDC yang di-patch untuk versi VMware yang menyertakan OpenSSH yang telah diperbarui, akan tersedia sesegera mungkin. Buletin ini akan diupdate saat patch tersedia. Sebaiknya terapkan hal berikut mitigasi sesuai kebutuhan.

Jangan izinkan SSH ke node cluster

Anda dapat mengubah pengaturan jaringan infrastruktur untuk melarang konektivitas SSH dari sumber yang tidak terpercaya, seperti internet publik.

Ubah konfigurasi sshd

Jika Anda tidak dapat menerapkan mitigasi sebelumnya, kami telah memublikasikan DaemonSet yang menyetel sshd LoginGraceTime ke nol dan memulai ulang daemon SSH. Ini DaemonSet dapat diterapkan ke cluster untuk memitigasi serangan. Perhatikan bahwa konfigurasi layanan penyimpanan dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah akses SSH yang sah. Hapus DaemonSet ini setelah patch diterapkan.

Update 11-07-2024: Versi GKE berikut di AWS telah diperbarui dengan kode untuk memperbaiki kerentanan ini:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Upgrade GKE Anda di bidang kontrol dan node pool AWS ke salah satu atau versi yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster AWS dan Mengupdate kumpulan node.

Update 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di AWS menjalankan versi OpenSSH yang rentan terhadap masalah ini.

GKE di cluster AWS dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani sebagai prioritas tertinggi untuk mitigasi.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: GKE yang di-patch pada versi AWS yang menyertakan OpenSSH yang telah diperbarui, akan tersedia sesegera mungkin. Buletin ini akan diupdate saat patch tersedia. Sebaiknya Anda mempelajari langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan sebagai diperlukan.

Menentukan apakah node Anda memiliki alamat IP publik

GKE di AWS tidak menyediakan mesin apa pun dengan salah satu alamat IP publik atau dengan aturan firewall yang mengizinkan lalu lintas data ke porta 22 secara {i>default<i}. Namun, tergantung pada konfigurasi subnet Anda, komputer mendapatkan alamat IP publik selama penyediaan.

Untuk memeriksa apakah node disediakan dengan alamat IP publik, melihat konfigurasi subnet yang terkait dengan resource kumpulan node AWS Anda.

Jangan izinkan SSH ke node cluster

Meskipun GKE di AWS tidak mengizinkan traffic pada port 22 pada node mana pun dengan secara default, pelanggan dapat menambahkan grup keamanan tambahan ke node pool, sehingga memungkinkan traffic SSH.

Sebaiknya Anda hapus atau cakupan di bawah aturan yang sesuai dari grup keamanan yang disediakan.

Mengonversi kumpulan node publik menjadi pribadi

Untuk melindungi cluster dengan node publik secara optimal, sebaiknya larang SSH melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika Anda tidak dapat melarang SSH dengan aturan grup keamanan, Anda dapat mengonversi kumpulan node publik menjadi menonaktifkan opsi untuk menetapkan IP publik secara otomatis ke komputer dalam subnet dan menyediakan kembali kumpulan node.

Update 11-07-2024: Versi GKE berikut di Azure telah diperbarui dengan kode untuk memperbaiki kerentanan ini:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Upgrade GKE Anda di bidang kontrol dan node pool Azure ke salah satu opsi berikut atau versi yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster Azure Anda dan Mengupdate kumpulan node.

Update 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di Azure menjalankan versi OpenSSH yang rentan terhadap masalah ini.

GKE pada cluster Azure dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani sebagai prioritas tertinggi untuk mitigasi.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: GKE yang di-patch pada versi Azure yang menyertakan OpenSSH yang telah diperbarui, akan tersedia sesegera mungkin. Buletin ini akan diupdate saat patch tersedia. Sebaiknya Anda mempelajari langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan sebagai diperlukan.

Menentukan apakah node Anda memiliki alamat IP publik

GKE di Azure tidak menyediakan komputer apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan lalu lintas data ke porta 22 secara {i>default<i}. Untuk meninjau konfigurasi Azure untuk memeriksa apakah ada alamat IP publik yang dikonfigurasi di GKE Anda di cluster Azure, jalankan perintah berikut:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

Jangan izinkan SSH ke node cluster

Meskipun GKE di Azure tidak mengizinkan traffic pada port 22 pada node mana pun dengan secara default, pelanggan dapat memperbarui aturan NetworkSecurityGroup ke node pool, traffic SSH dari internet publik.

Kami sangat menyarankan Anda meninjau Grup Keamanan Jaringan (NSG) yang terkait dengan ke cluster Kubernetes Anda. Jika ada aturan NSG yang mengizinkan traffic masuk yang tidak dibatasi di port 22 (SSH), lakukan salah satu hal berikut:

• Hapus aturan sepenuhnya: Jika akses SSH ke node cluster tidak tersedia diperlukan dari internet, hapus aturan untuk menghilangkan vektor serangan potensial.
• Cakupan ke bawah aturan: Batasi akses masuk di port 22 hanya ke alamat atau rentang IP tertentu yang memerlukannya. Hal ini meminimalkan permukaan yang terekspos untuk serangan yang potensial.

Mengonversi kumpulan node publik menjadi pribadi

Untuk melindungi cluster dengan node publik secara optimal, sebaiknya larang SSH melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika Anda tidak dapat melarang SSH dengan aturan grup keamanan, Anda dapat mengonversi kumpulan node publik menjadi menghapus alamat IP publik yang terkait dengan VM.

Untuk menghapus alamat IP publik dari VM dan menggantinya dengan alamat IP pribadi konfigurasi, lihat Memisahkan alamat IP publik dari VM Azure.

Dampak: Setiap koneksi yang ada yang menggunakan alamat IP publik akan terganggu. Pastikan Anda memiliki metode akses alternatif, seperti VPN atau Bastion Azure.

Pembaruan 02-07-2024: Versi asli buletin ini untuk Software GDC untuk bare metal salah menyatakan bahwa versi patch sedang berlangsung. Perangkat lunak GDC untuk bare metal tidak terpengaruh secara langsung karena tidak mengelola {i>daemon<i} SSH atau konfigurasi sistem operasi. Oleh karena itu, versi {i>patch<i} adalah tanggung jawab penyedia sistem operasi, sebagaimana dijelaskan dalam Apa yang harus saya lakukan?.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan mengeksploitasi kondisi race yang dapat digunakan untuk mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang mendapatkan akses {i>root<i} ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Kami tidak mengetahui upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: Hubungi penyedia OS Anda guna mendapatkan patch untuk sistem operasi digunakan dengan perangkat lunak GDC untuk bare metal.

Sebelum Anda menerapkan {i>patch<i} vendor OS, pastikan komputer yang dapat dijangkau publik tidak mengizinkan koneksi SSH dari internet. Jika tidak memungkinkan, alternatifnya adalah dengan setel LoginGraceTime ke nol dan mulai ulang server sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Perlu diperhatikan bahwa perubahan konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah dengan akses SSH yang sah.

Teks asli 01-07-2024 (lihat update 02-07-2024 sebelumnya untuk koreksi):

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 18-07-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgradekan Kumpulan node OS yang Dioptimalkan Container dengan versi patch berikut atau yang lebih baru:

• 1.27.15-gke.1125000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Versi minor berikut terpengaruh, tetapi versi patch-nya tidak tersedia. Kita akan perbarui buletin ini saat versi patch tersedia:

• 1,26
• 1.27

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26583

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 10-07-2024: Versi GKE berikut adalah memperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade kumpulan node Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Untuk versi minor 1.26 dan 1.27, upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2024-26583

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2022-23222

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2022-23222

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2022-23222

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2022-23222

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container:

• CVE-2022-23222

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE di VMware tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di VMware tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE di AWS tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE di Azure tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 akan terpengaruh.

GKE pada Bare Metal tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 18-07-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 22-05-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang ke Tinggi. Buletin aslinya menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 15-05-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Update 09-05-2024: Tingkat keparahan dikoreksi dari Sedang menjadi Tinggi.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 18-07-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh.

Cluster Standar dan Autopilot GKE terpengaruh.

Apa yang harus saya lakukan?

Update 24-04-2024: Menambahkan versi patch untuk GKE.

Versi GKE berikut mencakup patch keamanan Golang untuk memperbaiki kerentanan ini. Upgrade cluster GKE Anda ke versi berikut atau yang lebih baru:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Lakukan mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:

Anda dapat memitigasi cluster dari serangan semacam ini dengan mengonfigurasi jaringan yang diizinkan. Ikuti petunjuk untuk mengaktifkan jaringan yang diizinkan untuk cluster yang ada.

Untuk mempelajari lebih lanjut cara jaringan yang diizinkan mengontrol akses ke bidang kontrol, lihat Cara kerja jaringan yang diizinkan. Untuk melihat akses jaringan yang diizinkan secara default, lihat tabel di bagian Akses ke endpoint bidang kontrol.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Update 17-07-2024: Menambahkan versi patch untuk GKE pada VMware.

Versi GKE pada VMware berikut menyertakan kode untuk memperbaiki masalah ini kerentanan. Upgrade GKE pada cluster VMware Anda ke berikut ini versi atau yang lebih baru:

• 1.29.0
• 1.28.500
• 1.16.8

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi VMware yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi AWS yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE di Azure versi Azure yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Update 09-07-2024: Menambahkan versi patch untuk GKE pada Bare Metal.

Versi GKE pada Bare Metal berikut menyertakan kode untuk memperbaiki masalah ini kerentanan. Upgrade GKE Anda pada cluster Bare Metal ke versi atau yang lebih baru:

• 1.29.100
• 1.28.600
• 1.16.9

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE pada versi Bare Metal yang menyertakan patch ini tersedia. Untuk meminta patch pada linimasa yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS di bidang kontrol Kubernetes.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE berikut adalah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Update 04-04-2024: Koreksi versi minimum untuk kumpulan node GKE Container-Optimized OS.

Versi GKE minimum yang berisi perbaikan OS yang Dioptimalkan untuk Container yang tercantum sebelumnya salah. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini pada Container-Optimized OS. Upgrade kumpulan node Container-Optimized OS Anda ke versi berikut atau yang lebih baru:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Update 17-04-2024: Menambahkan versi patch untuk GKE di VMware.

Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200
• 1.16.6
• 1.15.10

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

Cluster GKE Standard berjalan Windows Server node dan penggunaan plugin penyimpanan dalam hierarki mungkin akan terpengaruh.

Cluster GKE Autopilot dan node pool GKE GKE Sandbox tidak terpengaruh karena mereka tidak mendukung {i>node<i} Windows Server.

Apa yang harus saya lakukan?

Pastikan apakah Anda menggunakan node Windows Server pada cluster:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk melihat bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi eksploitasi yang kuat.

Update cluster GKE dan kumpulan node ke versi yang di-patch. Tujuan versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual cluster dan node pool Windows Server Anda ke salah satu layanan GKE versi atau yang lebih baru:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

GKE pada cluster VMware yang berjalan Windows Server node dan penggunaan plugin penyimpanan dalam hierarki mungkin akan terpengaruh.

Apa yang harus saya lakukan?

Pastikan apakah Anda menggunakan node Windows Server pada cluster:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk melihat bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi eksploitasi yang kuat.

Mengupdate GKE pada cluster VMware dan node pool ke versi yang di-patch. Tujuan versi GKE di VMware berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual kumpulan node cluster dan Windows Server Anda ke salah satu GKE berikut di VMware versi atau yang lebih baru:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

GKE pada cluster AWS tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

GKE pada cluster Azure tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak admin pada node tersebut.

GKE pada cluster Bare Metal tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna yang memiliki izin untuk membuat Pod di node Ubuntu OS dan Container-Optimized mungkin bisa mendapatkan akses penuh ke sistem file {i>node<i}.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster menggunakan GKE Sandbox tidak terdampak.

Apa yang harus saya lakukan?

Update 28-02-2024: Versi GKE berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Update 15-02-2024: Karena masalah, versi patch Ubuntu berikut dari update 14-02-2024 dapat menyebabkan node Anda memasuki status tidak responsif. Larangan dan upgrade ke versi patch berikut. Kami akan memperbarui buletin ini ketika {i>patch<i} yang lebih baru versi untuk Ubuntu tersedia untuk 1.25 dan 1.26.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Jika Anda sudah meningkatkan ke salah satu versi {i>patch<i} ini, downgrade secara manual kumpulan node Anda ke versi sebelumnya di saluran rilis.

Update 14-02-2024: Versi GKE berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Mengupgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Update 06-02-2024: Versi GKE berikut memiliki telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual cluster dan node pool Container-Optimized OS Anda ke salah satu Versi GKE atau yang lebih baru:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kami mengupdate GKE dengan kode untuk memperbaiki kerentanan ini. Kita akan memperbaruinya buletin ketika versi tambalan tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan Pod Kubernetes. Di runc versi sebelum patch yang dirilis untuk buletin keamanan, beberapa deskriptor file secara tidak sengaja bocor ke dalam Proses runc init yang berjalan dalam container. runc juga melakukan tidak memverifikasi bahwa direktori kerja akhir container berada di dalam pemasangan container namespace. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer bisa menggunakan kombinasi {i>deskriptor file yang bocor dan kurangnya direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh host sistem file dan menimpa biner arbitrer pada {i>node<i}.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna yang memiliki izin untuk membuat Pod di node Ubuntu OS dan Container-Optimized mungkin bisa mendapatkan akses penuh ke sistem file {i>node<i}.

Apa yang harus saya lakukan?

Update 06-03-2024: Versi GKE pada VMware berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200
• 1.16.6
• 1.15.9

Versi patch dan penilaian tingkat keparahan untuk GKE pada VMware sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan Pod Kubernetes. Di runc versi sebelum patch yang dirilis untuk buletin keamanan, beberapa deskriptor file secara tidak sengaja bocor ke dalam Proses runc init yang berjalan dalam container. runc juga melakukan tidak memverifikasi bahwa direktori kerja akhir container berada di dalam pemasangan container namespace. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer bisa menggunakan kombinasi {i>deskriptor file yang bocor dan kurangnya direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh host sistem file dan menimpa biner arbitrer pada {i>node<i}.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna yang memiliki izin untuk membuat Pod di node Ubuntu OS dan Container-Optimized mungkin bisa mendapatkan akses penuh ke sistem file {i>node<i}.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE di AWS berikut memiliki telah diupdate dengan patch untuk CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Versi patch dan penilaian tingkat keparahan untuk GKE di AWS sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan Pod Kubernetes. Di runc versi sebelum patch yang dirilis untuk buletin keamanan, beberapa deskriptor file secara tidak sengaja bocor ke dalam Proses runc init yang berjalan dalam container. runc juga melakukan tidak memverifikasi bahwa direktori kerja akhir container berada di dalam pemasangan container namespace. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer bisa menggunakan kombinasi {i>deskriptor file yang bocor dan kurangnya direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh host sistem file dan menimpa biner arbitrer pada {i>node<i}.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna yang memiliki izin untuk membuat Pod di node Ubuntu OS dan Container-Optimized mungkin bisa mendapatkan akses penuh ke sistem file {i>node<i}.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE berikut di Azure memiliki telah diupdate dengan patch untuk CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Versi patch dan penilaian tingkat keparahan untuk GKE di Azure sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan Pod Kubernetes. Di runc versi sebelum patch yang dirilis untuk buletin keamanan, beberapa deskriptor file secara tidak sengaja bocor ke dalam Proses runc init yang berjalan dalam container. runc juga melakukan tidak memverifikasi bahwa direktori kerja akhir container berada di dalam pemasangan container namespace. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer bisa menggunakan kombinasi {i>deskriptor file yang bocor dan kurangnya direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh host sistem file dan menimpa biner arbitrer pada {i>node<i}.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna yang memiliki izin untuk membuat Pod mungkin bisa mendapatkan akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 02-04-2024: Versi GKE pada Bare Metal berikut memiliki telah diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Versi patch dan penilaian tingkat keparahan untuk GKE pada Bare Metal sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut jika tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat level rendah untuk memunculkan dan menjalankan container Linux yang digunakan Pod Kubernetes. Di runc versi sebelum patch yang dirilis untuk buletin keamanan, beberapa deskriptor file secara tidak sengaja bocor ke dalam Proses runc init yang berjalan dalam container. runc juga melakukan tidak memverifikasi bahwa direktori kerja akhir container berada di dalam pemasangan container namespace. Image container berbahaya atau pengguna yang memiliki izin untuk menjalankan Pod arbitrer bisa menggunakan kombinasi {i>deskriptor file yang bocor dan kurangnya direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh host sistem file dan menimpa biner arbitrer pada {i>node<i}.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6817

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 07-02-2024: Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Pembaruan 26-01-2024: Riset keamanan yang menemukan sejumlah kecil Cluster GKE dengan kesalahan konfigurasi yang dibuat pelanggan dan melibatkan grup system:authenticated sekarang telah dipublikasikan. Blog peneliti posting mengacu pada 1.300 cluster dengan beberapa binding yang salah dikonfigurasi, dan 108 dengan hak istimewa pengguna. Kami telah bekerja sama dengan pelanggan yang terkena dampak untuk memberi tahu mereka dan membantu menghapus {i>bindings<i} yang salah dikonfigurasi.

Kami telah mengidentifikasi beberapa cluster di mana pengguna memberikan izin pada Kubernetes hak istimewa ke grup system:authenticated, yang mencakup semua pengguna dengan Akun Google. Jenis binding ini tidak direkomendasikan, karena melanggar prinsip hak istimewa dan pemberian hak terendah akses ke kelompok pengguna yang sangat besar. Lihat panduan di bagian 'Apa yang harus saya lakukan' untuk instruksi tentang cara menemukan jenis binding ini.

Baru-baru ini, peneliti keamanan melaporkan temuan klaster dengan RBAC kesalahan konfigurasi melalui program pelaporan kerentanan kami.

Pendekatan Google terhadap otentikasi adalah melakukan otentikasi ke Google Cloud dan GKE sesederhana dan seaman mungkin tanpa menambahkan langkah konfigurasi yang kompleks. Authentication hanya memberi tahu kita siapa penggunanya; Otorisasi adalah di mana akses ditentukan. Jadi grup system:authenticated di GKE yang berisi semua pengguna yang diautentikasi melalui penyedia identitas Google berfungsi sebagaimana mestinya dan berfungsi dengan cara yang sama seperti IAM ID allAuthenticatedUsers.

Dengan mengingat hal ini, kami telah mengambil beberapa langkah untuk mengurangi risiko pengguna membuat error otorisasi dengan pengguna bawaan Kubernetes dan grup, termasuk system:anonymous, system:authenticated, dan system:unauthenticated. Semua pengguna/grup tersebut merupakan risiko bagi cluster jika izin diberikan. Rab membahas beberapa aktivitas penyerang yang menargetkan kesalahan konfigurasi RBAC dan pertahanan yang tersedia di Kubecon pada November 2023.

Untuk melindungi pengguna dari error otorisasi yang tidak disengaja dengan sistem ini pengguna/grup, kami memiliki:

• Oleh binding baru baru yang diblokir secara default dari ClusterRole dengan hak istimewa tinggi cluster-admin kepada Pengguna system:anonymous, Grup system:authenticated, atau Grup system:unauthenticated di GKE versi 1.28.
• Menambahkan aturan deteksi ke dalam Peristiwa Deteksi Ancaman (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) sebagai bagian dari dengan Security Command Center.
• Membuat aturan pencegahan yang dapat dikonfigurasi ke dalam Pengontrol Kebijakan dengan K8sRestrictRoleBindings.
• Mengirim notifikasi email ke semua pengguna GKE dengan binding ke pengguna/grup yang meminta mereka meninjau konfigurasi.
• Membuat fitur otorisasi jaringan dan membuat rekomendasi untuk membatasi akses jaringan ke cluster sebagai lapisan pertama pertahanan utama.
• Peningkatan kesadaran tentang masalah ini melalui Diskusi di Kubecon pada November 2023.

Cluster yang menerapkan izin diotorisasi jaringan memiliki lapisan pertahanan pertama: tidak dapat diserang langsung dari internet. Tapi kami tetap menyarankan menghapus binding ini untuk pertahanan yang mendalam dan untuk menjaga dari kesalahan dalam kontrol jaringan.
Perlu diperhatikan bahwa ada sejumlah kasus ketika binding ke pengguna sistem Kubernetes atau grup digunakan dengan sengaja: misalnya untuk kubeadm bootstrap, Rancher dasbor dan Bitnami rahasia tertutup. Kami telah mengonfirmasi dengan vendor perangkat lunak tersebut bahwa mereka binding berfungsi sebagaimana mestinya.

Kami sedang menyelidiki berbagai cara untuk memberikan perlindungan lebih lanjut terhadap pengguna RBAC kesalahan konfigurasi pengguna/grup sistem ini melalui tindakan pencegahan dan deteksi.

Apa yang harus saya lakukan?

Untuk mencegah binding baru dari cluster-admin ke Pengguna system:anonymous, Grup system:authenticated, atau Grup Pengguna system:unauthenticated dapat mengupgrade ke GKE v1.28 atau nanti (rilis catatan), tempat pembuatan binding tersebut diblokir.

Binding yang ada harus ditinjau mengikuti panduan ini.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.

• CVE-2023-6111

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.

• CVE-2023-6111

Apa yang harus saya lakukan?

Update 20-02-2024: Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru: 1.28.100

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.

• CVE-2023-6111

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.

• CVE-2023-6111

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node OS yang Dioptimalkan untuk Container.

• CVE-2023-6111

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3609

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3389

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3090

Cluster GKE Standard terpengaruh. GKE Cluster Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau izinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3390

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.4-gke.400
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Penyerang yang telah menyusupi kontainer {i>logging<i} Fluent Bit dapat menggabungkan akses dengan hak istimewa tinggi yang diperlukan Cloud Service Mesh (pada cluster yang memiliki mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster. Masalah terkait Fluent Bit dan Cloud Service Mesh telah dimitigasi dan perbaikannya kini tersedia. Kerentanan ini tidak dapat dieksploitasi secara mandiri di GKE dan memerlukan penyusupan awal. Kami tidak mengetahui adanya eksploitasi kerentanan ini.

Masalah ini dilaporkan melalui Vulnerability Reward Program.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Fluent Bit dan bagi pengguna Cloud Service Mesh terkelola. Sebagai keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda upgrade manual cluster dan node pool ke salah satu versi GKE berikut atau nanti:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda dapat mengamankan {i>node<i} Anda hingga versi baru menjadi {i>default<i} untuk saluran rilis

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Kerentanan apa yang ditangani oleh patch ini?

Kerentanan yang ditangani oleh buletin ini membutuhkan penyerang untuk menyusupi Container logging Fluent Bit. Kami tidak mengetahui adanya kerentanan di Fluent Bit yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai tindakan pengerasan untuk mencegah potensi serangan penuh pada masa mendatang

GKE menggunakan Fluent Bit untuk memproses log bagi workload yang berjalan di cluster. Fluent Bit di GKE juga dikonfigurasi untuk mengumpulkan log untuk workload Cloud Run. Pemasangan volume yang dikonfigurasi untuk mengumpulkan log tersebut memberi Akses Fluent Bit ke token akun layanan Kubernetes untuk Pod lain yang berjalan di {i>node<i}. Peneliti menggunakan akses ini untuk menemukan akun layanan dengan hak istimewa tinggi untuk cluster yang mengaktifkan Cloud Service Mesh.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Tujuan peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasikan hak istimewa awal mereka yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster

Kami telah menghapus akses Fluent Bit ke token akun layanan dan memiliki mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebih.

Hanya GKE pada cluster VMware yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Rab tidak menyadari adanya kerentanan yang akan menyebabkan prasyarat kondisi untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai pengerasan langkah-langkah untuk mencegah potensi rantai serangan penuh di masa depan.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna.

Hanya GKE pada cluster AWS yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus upgrade manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak menyadari adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai tindakan pengerasan untuk mencegah kemungkinan terjadinya rantai serangan penuh di masa depan.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna.

Hanya GKE pada cluster Azure yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus upgrade manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak menyadari adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini dengan langkah-langkah pengerasan untuk mencegah kemungkinan rantai serangan penuh di masa depan.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna.

Hanya GKE pada cluster Bare Metal yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari container atau memiliki root di Node cluster. Kami tidak menyadari adanya kerentanan yang akan menyebabkan kondisi prasyarat ini untuk eskalasi akses. Kami telah memperbaiki kerentanan ini sebagai tindakan pengerasan untuk mencegah kemungkinan terjadinya rantai serangan penuh di masa depan.

Anthos Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes berhak istimewa dari Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang telah disusupi dengan membuat pod baru dengan hak istimewa admin cluster.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghilangkan hak istimewa pengguna.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5717

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 22-01-2024: Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Update 04-03-2024: Versi GKE di VMware berikut diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200
• 1.16.5
• 1.15.8

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5197

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Versi minor berikut terpengaruh. Upgradekan Kumpulan node Ubuntu ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4147

Cluster GKE Standard terpengaruh. Cluster Autopilot GKE tidak terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 15-11-2023: Anda hanya perlu mengupgrade ke salah satu versi yang di-patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut dalam node Anda. Misalnya, jika menggunakan GKE versi 1.27, Anda harus mengupgradenya ke patch . Namun, jika menggunakan GKE versi 1.24, Anda tidak perlu melakukan upgrade ke versi yang telah di-patch.

Upgradekan Kumpulan node Container-Optimized OS ke salah satu versi berikut atau yang lebih baru:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan {i>node<i} Anda hingga versi yang di-patch akan menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Jalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4004

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 05-12-2023: Beberapa versi GKE sebelumnya tidak ada. Berikut adalah daftar terbaru versi GKE yang dapat Anda update Container-Optimized OS untuk:

• 1.24.17-gke.200 atau yang lebih baru
• 1.25.13-gke.200 atau yang lebih baru
• 1.26.8-gke.200 atau yang lebih baru
• 1.27.4-gke.2300 atau yang lebih baru
• 1.28.1-gke.1257000 atau yang lebih baru

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4921

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4015

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.27.5-gke.1647000

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3777

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN. Workload GKE Sandbox juga tidak terpengaruh.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox akan terpengaruh.

Apa yang harus saya lakukan?

Update 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade kumpulan node OS yang Dioptimalkan untuk Container ke salah satu versi berikut atau yang lebih baru:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Upgrade kumpulan node Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di {i> kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh.

Apa yang harus saya lakukan?

Update 09-11-2023: Kami telah merilis versi baru GKE yang mencakup patch keamanan Go dan Kubernetes, yang dapat dapat memperbarui cluster Anda sekarang. Dalam beberapa minggu mendatang, kami akan merilis perubahan pada bidang kontrol GKE untuk memitigasi masalah ini lebih lanjut.

Versi GKE berikut telah diupdate dengan patch untuk CVE-2023-44487 dan CVE-2023-39325:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Sebaiknya terapkan mitigasi berikut sesegera mungkin dan upgrade ke versi terbaru yang di-patch jika tersedia.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi mana yang perlu diupgrade ke bidang kontrol Anda, dan juga membuat patch terlihat dalam postur keamanan GKE jika tersedia untuk cluster Anda. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk channel Anda, aktifkan notifikasi cluster.

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kurangi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:

Anda dapat menambahkan jaringan resmi untuk cluster yang ada. Untuk mempelajari lebih lanjut, izinkan jaringan untuk cluster yang ada.

Selain jaringan resmi yang Anda tambahkan, terdapat alamat IP yang telah ditetapkan sebelumnya yang dapat mengakses bidang kontrol GKE. Untuk mempelajari alamat ini lebih lanjut, lihat Akses ke endpoint bidang kontrol. Item berikut meringkas isolasi cluster:

• Cluster pribadi dengan cluster berbasis --master-authorized-networks dan PSC dengan konfigurasi --master-authorized-networks dan --no-enable-google-cloud adalah yang paling terisolasi.
• Cluster publik lama dengan cluster berbasis --master-authorized-networks dan PSC dengan konfigurasi --master-authorized-networks dan --enable-google-cloud (default) juga dapat diakses dengan cara berikut:
  • Alamat IP publik semua VM Compute Engine di Google Cloud
  • Alamat IP Google Cloud Platform

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol GKE.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di VMware membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 14-02-2024: Versi GKE berikut di VMware berikut diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke cluster berikut versi patch atau yang lebih baru:

• 1.28.100
• 1.16.6
• 1.15.8

Jika Anda telah mengonfigurasi GKE pada cluster Kubernetes VMware agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di AWS membuat cluster Kubernetes pribadi yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: GKE pada versi AWS berikut telah diupdate dengan patch untuk CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di AWS untuk memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. GKE di Azure membuat cluster Kubernetes pribadi yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: GKE pada versi Azure berikut telah diupdate dengan patch untuk CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di cluster Azure untuk memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan tersebut dapat menyebabkan DoS pada bidang kontrol Kubernetes. Anthos di Bare Metal membuat cluster Kubernetes yang secara default tidak dapat diakses langsung ke Internet dan terlindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah mengonfigurasi Anthos di cluster Kubernetes Bare Metal agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya Anda bekerja sama dengan administrator firewall untuk memblokir atau membatasi akses tersebut. Untuk mempelajari lebih lanjut, lihat ringkasan keamanan GKE pada Bare Metal.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada tanggal 10 Oktober. Setelah tersedia, kita akan membangun dan menguji kelayakan server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang ke versi mana bidang kontrol perlu diupgrade.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-44487 memungkinkan penyerang menjalankan serangan denial-of-service pada node bidang kontrol Kubernetes.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Cluster GKE hanya terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, kami merekomendasikan agar Anda mengupgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

Bidang kontrol GKE akan diperbarui pada minggu 04-09-2023 untuk memperbarui csi-proxy ke versi 1.1.3. Jika Anda memperbarui node sebelum memperbarui bidang kontrol, Anda harus memperbarui {i>node<i} Anda lagi setelah pembaruan untuk memanfaatkan {i>proxy<i}. Anda dapat memperbarui node lagi, bahkan tanpa mengubah versi node, dengan menjalankan perintah gcloud container clusters upgrade dan meneruskan flag --cluster-version dengan versi GKE yang sama dengan node sudah berjalan. Anda harus menggunakan gcloud CLI untuk mendapatkan solusi ini. Perhatikan bahwa tindakan ini akan menyebabkan pembaruan, terlepas dari masa pemeliharaan.

Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk konfigurasi saluran rilis.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan tidak lolos operasi ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian {i>string<i} sebagai perintah terpisah. Perintah-perintah ini akan berjalan dengan alamat jaringan istimewa seperti yang dimiliki Kubelet.

Dengan CVE-2023-3955, Kubelet memberikan kemampuan kepada pengguna yang dapat membuat Pod untuk mengeksekusi kode pada tingkat izin akses yang sama dengan agen Kubelet, izin akses istimewa.

Dengan CVE-2023-3893, kurangnya sanitasi input yang sama memungkinkan pengguna yang dapat membuat Pod di Node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Buah membuat peristiwa dengan perintah PowerShell yang tertanam merupakan indikasi kuat eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell yang tertanam dan dipasang ke dalam Pod juga merupakan indikasi kuat terjadinya eksploitasi.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Cluster hanya akan terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki sanitasi input dan tidak lolos operasi ke eksekutor perintah sebagai argumen yang akan mengeksekusi bagian {i>string<i} sebagai perintah terpisah. Perintah-perintah ini akan berjalan dengan alamat jaringan istimewa seperti yang dimiliki Kubelet.

Dengan CVE-2023-3955, Kubelet memberikan kemampuan kepada pengguna yang dapat membuat Pod untuk mengeksekusi kode pada tingkat izin akses yang sama dengan agen Kubelet, izin akses istimewa.

Dengan CVE-2023-3893, kurangnya sanitasi input yang sama memungkinkan pengguna yang dapat membuat Pod di Node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin pada node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Buah membuat peristiwa dengan perintah PowerShell yang tertanam merupakan indikasi kuat eksploitasi. ConfigMaps dan Secret yang berisi perintah PowerShell yang tertanam dan dipasang ke dalam Pod juga merupakan indikasi kuat terjadinya eksploitasi.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, di mana pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi versi Windows Kubelet dan proxy Kubernetes CSI.

Apa yang harus saya lakukan?

GKE pada Bare Metal tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster Autopilot GKE terpengaruh karena node GKE Autopilot selalu menggunakan image node OS yang Dioptimalkan untuk Container. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node OS yang Dioptimalkan untuk Container akan terpengaruh.

Cluster GKE tidak terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum versi 1.25, atau menggunakan GKE Sandbox.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa peristiwa seinduknya Attach_state sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan untuk memanggil list_del_event() sebelum melepaskan diri dari grupnya, sehingga penggunaan pointer tidak stabil yang menyebabkan kerentanan use-after-free dapat dilakukan.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE, termasuk cluster Autopilot, juga terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 11-07-2023: Versi patch Ubuntu tersedia.

Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru versi yang membuat patch CVE-2023-31436:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. GKE pada cluster Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, cacat akses memori yang melebihi batas ditemukan di subsistem kontrol traffic (QoS) kernel Linux dalam cara pengguna memicu fungsi qfq_change_class dengan nilai MTU yang salah dari perangkat jaringan yang digunakan sebagai lmax. Cacat ini memungkinkan pengguna lokal untuk {i>crash<i} atau berpotensi meningkatkan hak istimewa mereka pada sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh (ASM). Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE tidak dikirim dengan ASM dan tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah menginstal ASM secara terpisah untuk cluster GKE, lihat GCP-2023-002.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang dalam Cloud Service Mesh di GKE pada VMware, yang memungkinkan penyerang berbahaya menyebabkan {i>denial of service<i} atau {i>error<i} Envoy. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kita ingin memastikan bahwa Pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu berikut GKE pada versi VMware:

• 1.13.8
• 1.14.5
• 1.15.1

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan terekspos, aktor dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti sertifikat peer SAN.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan besar untuk rute yang memiliki filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus ke memicu kesalahan penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus merupakan internal tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di AWS tidak dikirim dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di Azure tidak dikirim dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan dalam Cloud Service Mesh di GKE pada Bare Metal, yang memungkinkan penyerang untuk menyebabkan {i>denial of service<i} atau membuat {i>error<i} Envoy. Laporan ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kita ingin memastikan bahwa Pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade admin dan cluster pengguna Anda untuk salah satu GKE berikut pada versi Bare Metal:

• 1.13.9
• 1.14.6
• 1.15.2

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan terekspos, aktor dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti sertifikat peer SAN.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan besar untuk rute yang memiliki filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus ke memicu kesalahan penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus merupakan internal tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}. Cluster GKE, termasuk cluster Autopilot, juga terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Pada CVE-2023-0468, cacat use-after-free ditemukan di io_uring/poll.c di io_poll_check_events di subkomponen io_uring di Kernel Linux. Cacat ini dapat menyebabkan dereferensi pointer NULL, dan berpotensi menyebabkan error sistem yang menyebabkan denial of service.

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}.

GKE di VMware menggunakan Kernel Linux versi 5.4 dan tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan tindakan apa pun

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}.

GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan tindakan apa pun

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}.

GKE di Azure tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan tindakan apa pun

Kerentanan baru (CVE-2023-0468) telah ditemukan dalam {i>kernel<i} Linux versi 5.15 yang dapat menyebabkan {i>denial of service<i} pada {i>node<i}.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan tindakan apa pun

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728).

GKE tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran rilis tertentu.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

• Plugin akses masuk ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan container ephemeral.

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728) Anthos di VMware tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Semua versi Anthos di VMware berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan pengguna Anda ke salah satu versi GKE pada VMware berikut:

• 1.13.10
• 1.14.6
• 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

• Plugin akses masuk ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan container ephemeral.

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728)
Anthos di AWS tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di AWS berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke GKE berikut di versi AWS:

• 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

• Plugin akses masuk ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan container ephemeral.

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728)
Anthos di Azure tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di Azure berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Update 11-08-2023: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE berikut di Azure:

• 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

• Plugin akses masuk ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan container ephemeral.

Dua masalah keamanan baru ditemukan di Kubernetes yang memungkinkan pengguna meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral serta ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728)
Anthos di Bare Metal tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di Bare Metal berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual untuk Bare Metal berikut:

• 1.13.9
• 1.14.7
• 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container efemeral. Cluster Kubernetes hanya terpengaruh jika plugin penerimaan ImagePolicyWebhook digunakan bersama dengan container ephemeral. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan pembatasan yang sama.

Di CVE-2023-2728, pengguna mungkin dapat meluncurkan container yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin pendaftaran ServiceAccount saat menggunakan container efemeral. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster terpengaruh oleh kerentanan ini jika:

• Plugin akses masuk ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan container ephemeral.

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meski GKE tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di VMware tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE pada VMware tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE di AWS tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE di Azure tidak terpengaruh oleh CVE ini

Apa yang harus saya lakukan?

Meskipun GKE di Azure tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault.

GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE pada Bare Metal tidak terpengaruh, jika sudah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan CVE-2023-2878 ditemukan di secrets-store-csi-driver di mana pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat dipertukarkan dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi Cloud Vault. Token hanya dicatat jika TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada log level 2 atau yang lebih tinggi melalui tanda -v.

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free dalam subsistem io_uring pada kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi akses lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi race dengan file tetap yang menjadi tidak terdaftar.

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node. Cluster GKE Standard terpengaruh.

cluster dan cluster Autopilot GKE menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 06-06-2023: Versi patch Ubuntu tersedia.

Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829:

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun jika Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic Kernel Linux (tcindex) yang dapat dieksploitasi untuk mencapai eskalasi akses lokal.

Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pengosongan struktur data.

Di CVE-2023-1281, area hash yang tidak sempurna dapat diupdate saat paket melintas, yang akan menyebabkan use-after-free saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke {i>root<i}.

Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. Cluster GKE, termasuk cluster Autopilot, dengan COS menggunakan Kernel Linux versi 5.10 hingga 5.10.162 akan terpengaruh. Cluster GKE menggunakan Image Ubuntu atau penggunaan GKE Sandbox tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, kami sebaiknya upgrade kumpulan node secara manual ke salah satu opsi berikut Versi GKE:

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis tertentu saluran TV Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan 1 (CVE-2023-0240): Kondisi race di io_uring dapat menyebabkan container penuh yang terbagi ke root pada node. Kernel Linux versi 5.10 akan terpengaruh sampai 5.10.162.

Kerentanan 2 (CVE-2023-23586): Penggunaan setelah gratis (UAF) di io_uring/time_ns dapat yang mengarah ke kontainer lengkap yang keluar ke {i>root <i}pada {i>node<i}. Kernel Linux versi 5.10 adalah terdampak hingga 10/5/162.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE pada cluster VMware dengan COS menggunakan Linux Kernel versi 5.10 hingga 5.10.162 terdampak. Cluster GKE Enterprise yang menggunakan image Ubuntu tidak akan terpengaruh.

Apa yang harus saya lakukan?

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan tersebut:

• 1.12.6
• 1.13.5

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan 1 (CVE-2023-0240): Kondisi race di io_uring dapat menyebabkan container akan dibagi ke root pada node. Kernel Linux versi 5.10 akan terpengaruh sampai 5.10.162.

Kerentanan 2 (CVE-2023-23586): Penggunaan setelah gratis (UAF) di io_uring/time_ns dapat menyebabkan container penuh yang terbagi ke root pada node. Kernel Linux versi 5.10 akan terpengaruh sampai 5.10.162.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE di Azure tidak terpengaruh oleh CVE ini

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di Kernel Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasikan hak istimewa. GKE pada Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. Cluster GKE, yang meliputi Cluster Autopilot, terdampak. Cluster GKE menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, kami sebaiknya Anda mengupgrade secara manual cluster dan node pool ke salah satu versi GKE berikut:

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis tertentu saluran TV Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-4696, cacat use-after-free ditemukan di io_uring dan ioring_op_splice di {i>kernel<i} Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi akses lokal.

Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE pada VMware yang menjalankan v1.12 dan v1.13 akan terpengaruh. GKE pada VMware yang menjalankan v1.14 atau yang lebih baru tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu berikut GKE pada versi VMware:

• 1.12.5
• 1.13.5

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-4696, cacat use-after-free ditemukan di io_uring dan ioring_op_splice di {i>kernel<i} Linux. Cacat ini memungkinkan pengguna lokal membuat eskalasi akses lokal.

Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE di AWS tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE di Azure tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2022-4696) telah ditemukan di {i>kernel<i} Linux yang dapat menyebabkan ke eskalasi akses pada node. GKE pada Bare Metal tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}. Meskipun mendapatkan rating Tinggi di NVD endpoint GKE menggunakan boringSSL atau OpenSSL versi lama yang tidak terpengaruh, sehingga rating telah dikurangi menjadi Medium untuk GKE.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan:

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

Fitur terbaru dari rilis channel memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi baru menjadi default untuk merilis saluran tertentu.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-3786 dan CVE-2022-3602, buffer overrun dapat dipicu di sertifikat X.509 verifikasi yang dapat menyebabkan {i>crash<i} yang akan mengakibatkan penolakan layanan. Untuk menjadi dieksploitasi, kerentanan ini membutuhkan CA untuk menandatangani sertifikat berbahaya atau agar aplikasi melanjutkan verifikasi sertifikat meskipun terjadi kegagalan dalam membangun jalur ke penerbit tepercaya.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}.

Apa yang harus saya lakukan?

GKE di VMware tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Tindakan tidak diperlukan.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Tindakan tidak diperlukan.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Tindakan tidak diperlukan.

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan {i>crash<i}.

Apa yang harus saya lakukan?

GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggunakan versi yang terpengaruh OpenSSL.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Tindakan tidak diperlukan.

Pembaruan 21-12-2023: Buletin asli menyatakan Autopilot cluster terkena dampak, tetapi ini tidak tepat. Autopilot GKE cluster dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit mengatur profil {i>seccomp Unconfined<i} atau izinkan CAP_NET_ADMIN.

Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer. Cluster GKE, termasuk cluster Autopilot, juga terdampak.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda memiliki node mengaktifkan upgrade otomatis, sebaiknya Anda upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:

• OS yang Dioptimalkan untuk Container:
  • 1.22.16-gke.1300 dan yang lebih baru
  • 1.23.14-gke.401 dan yang lebih baru
  • 1.24.7-gke.900 dan yang lebih baru
  • 1.25.4-gke.1600 dan yang lebih baru
• Ubuntu:
• 1.22.15-gke.2500 dan yang lebih baru
• 1.23.13-gke.900 dan yang lebih baru
• 1.24.7-gke.900 dan yang lebih baru
• 1.25.3-gke.800 dan yang lebih baru

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Hal ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis tertentu saluran TV Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer.

Versi 1.11, 1.12, dan 1.13 GKE di VMware terpengaruh.

Apa yang harus saya lakukan?

Upgrade cluster Anda ke versi yang di-patch. Versi berikut dari GKE pada VMware berisi kode yang memperbaiki kerentanan ini:

• 1.13.2
• 1.12.4
• 1.11.5

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer.

Apa yang harus saya lakukan?

GKE versi saat ini dan generasi sebelumnya di AWS telah memperbarui dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE pada versi AWS berikut:

• Generasi saat ini:
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• Generasi sebelumnya:
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer.

Apa yang harus saya lakukan?

Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu opsi berikut GKE pada versi Azure:

• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan soket Unix pembersihan sampah memori dapat menyebabkan kerentanan {i>use-after-free<i}. Penyerang lokal bisa menggunakan ini untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di Kernel Linux yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer.

GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak dipaketkan sistem operasi dalam distribusinya.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node. Cluster GKE, termasuk cluster Autopilot, juga terdampak.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade kumpulan node Anda ke versi ini atau yang lebih baru.

Update 16-12-2022: Versi buletin sebelumnya telah direvisi karena adanya regresi rilis. Memohon upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:

• 1.22.16-gke.1300 dan yang lebih baru
• 1.23.14-gke.401 dan yang lebih baru
• 1.24.7-gke.900 dan yang lebih baru
• 1.25.4-gke.1600 dan yang lebih baru

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebagai keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda secara manual upgrade kumpulan node Anda ke salah satu versi GKE berikut:

• 1.21.14-gke.9500
• 1.24.7-gke.900

Update untuk GKE v1.22, 1.23, dan 1.25 akan segera tersedia. Buletin keamanan ini akan diperbarui saat tersedia.

Sebuah fitur terbaru channel rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Dengan begitu, Anda dapat mengamankan node hingga versi yang baru menjadi default untuk saluran khusus rilis Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.
• Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

Versi 1.13, 1.12, dan 1.11 dari GKE di VMware terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 16-12-2022: Versi berikut dari GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Saran dari kami Anda mengupgrade cluster admin dan pengguna ke salah satu dari GKE pada versi VMware:

• 1.13.2
• 1.12.4
• 1.11.6

• Catatan: Versi GKE di VMware yang berisi patch OS yang Dioptimalkan untuk Container akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE pada VMware tersedia untuk didownload.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

• Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.
• Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

Versi Kubernetes berikut di AWS mungkin terpengaruh:

• 1.23: Versi yang lebih lama dari 1.23.9-gke.800. Versi minor yang lebih baru tidak akan terpengaruh
• 1.22: Versi yang lebih lama dari 1.22.12-gke.1100. Versi minor yang lebih baru tidak akan terpengaruh

Kubernetes V1.24 tidak terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade cluster Anda ke salah satu versi AWS Kubernetes berikut:

• 1.23: versi yang lebih baru dari v1.23.9-gke.800
• 1.22: versi yang lebih baru dari 1.22.12-gke-1100

Kerentanan apa yang sedang ditangani?

Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.

Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

Versi Kubernetes berikut di Azure mungkin terpengaruh:

• 1.23: Versi yang lebih lama dari 1.23.9-gke.800. Versi minor yang lebih baru tidak akan terpengaruh.
• 1.22: Versi yang lebih lama dari 1.22.12-gke.1100. Versi minor yang lebih baru tidak akan terpengaruh.

Kubernetes V1.24 tidak terpengaruh.

Apa yang harus saya lakukan?

Sebaiknya upgrade cluster Anda ke salah satu versi Azure Kubernetes berikut:

• 1.23: versi yang lebih baru dari v1.23.9-gke.800
• 1.22: versi yang lebih baru dari 1.22.12-gke-1100

Kerentanan apa yang sedang ditangani?

Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploit use-after-free, bergantung pada cara timer dibuat dan dihapus.

Dengan CVE-2022-2588, cacat use-after-free ditemukan dalam route4_change di kernel Linux. Cacat ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi akses lokal.

Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan kontainer penuh yang pecah ke root pada node.

GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya menabrak bidang kontrol.

Apa yang harus saya lakukan?

Google Kubernetes Engine (GKE) tidak dijual dengan Istio dan tidak terpengaruh oleh kerentanan. Namun, jika Anda telah menginstal Cloud Service Mesh atau Istio secara terpisah pada cluster GKE, lihat GCP-2022-020, buletin keamanan Cloud Service Mesh tentang CVE ini, untuk informasi selengkapnya.

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh di GKE pada VMware, yang memungkinkan penyerang berbahaya membuat error Bidang kontrol Istio.

Apa yang harus saya lakukan?

Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki masalah ini kerentanan. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu berikut GKE pada versi VMware:

• 1.11.4
• 1.12.3
• 1.13.1

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, istiod, menjadi rentan terhadap kesalahan pemrosesan permintaan, yang memungkinkan penyerang berbahaya mengirim pesan yang dibuat khusus yang mengakibatkan bidang kontrol mengalami error saat yang memvalidasi webhook untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui TLS {i>port<i} 15017, tetapi tidak memerlukan otentikasi apa pun dari penyerang.

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya menabrak bidang kontrol.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh kerentanan ini dan Anda tidak perlu melakukan tindakan apa pun.

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya menabrak bidang kontrol.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh kerentanan ini dan tidak ada tindakan yang tidak diperlukan.

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh pada GKE pada Bare Metal, yang memungkinkan penyerang berbahaya untuk menabrak bidang kontrol Istio.

Apa yang harus saya lakukan?

Versi GKE pada Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda mengupgrade cluster ke salah satu berikut GKE pada versi Bare Metal:

• 1.11.7
• 1.12.4
• 1.13.1

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, istiod, menjadi rentan terhadap kesalahan pemrosesan permintaan, yang memungkinkan penyerang berbahaya mengirim pesan yang dibuat khusus yang mengakibatkan bidang kontrol mengalami error saat yang memvalidasi webhook untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui TLS {i>port<i} 15017, tetapi tidak memerlukan otentikasi apa pun dari penyerang.

Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal. Google Kubernetes Engine (GKE) v1.22, v1.23, dan v1.24 cluster, termasuk cluster Autopilot, menggunakan Container-Optimized OS versi 93 dan 97 akan terdampak. Lainnya yang didukung Versi GKE tidak terpengaruh. Cluster GKE menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 14-12-2022: Versi buletin sebelumnya telah direvisi karena adanya regresi rilis. Memohon upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:

• 1.22.15-gke.2500 dan yang lebih baru
• 1.23.13-gke.900 dan yang lebih baru
• 1.24.7-gke.900 dan yang lebih baru

Versi GKE berikut yang menggunakan versi Container-Optimized OS 93 dan 97 telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade manual kumpulan node Anda ke salah satu versi GKE berikut:

• 1.22.15-gke.2300 dan yang lebih baru
• 1.23.13-gke.700 dan yang lebih baru
• 1.24.7-gke.700 dan yang lebih baru

Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus unsubscribe dari channel. Fitur ini memungkinkan Anda amankan node Anda hingga versi baru menjadi default untuk rilis saluran TV Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer.

Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal.

Apa yang harus saya lakukan?

Pembaruan 14-12-2022: Versi berikut dari GKE di VMware untuk Ubuntu telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu GKE berikut di VMware berikut versi:

• 1.13.1 dan yang lebih baru
• 1.12.3 dan yang lebih baru
• 1.11.4 dan yang lebih baru

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer.

Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di AWS tidak menggunakan versi {i>kernel<i} Linux.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer.

Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat mengizinkan pengguna tanpa hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi yang terpengaruh dari {i>kernel<i} Linux.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2022-20409, Linux Kernel memiliki kerentanan di io_identity_cow io_uring. Ada potensi kerusakan memori karena adanya fitur Use-After-Free kerentanan (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk denial layanan (kerusakan sistem) atau mungkin untuk mengeksekusi kode arbitrer.

Kerentanan baru, CVE-2022-20409, telah ditemukan di {i>kernel<i} Linux yang dapat yang akan menyebabkan eskalasi akses lokal.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan tindakan apa pun. GKE pada Bare Metal tidak terpengaruh oleh perubahan ini CVE karena tidak memaketkan sistem operasi dalam distribusinya.