Todos los boletines de seguridad de los siguientes productos se describen en esta página:
- Google Kubernetes Engine (GKE)
- Google Distributed Cloud (solo software) en VMware
- GKE en AWS
- GKE en Azure
- Google Distributed Cloud (solo software) en Bare Metal
Las vulnerabilidades se suelen mantener en secreto y no se las puede divulgar hasta que las partes afectadas hayan tenido la oportunidad de tratar el tema. En estos casos, las notas de la versión de GKE tratan sobre “actualizaciones de seguridad” hasta que se apruebe la divulgación. En ese momento, las notas se actualizarán para reflejar la vulnerabilidad tratada en el parche.
Cuando GKE emite un boletín de seguridad que se correlaciona directamente con la configuración o la versión de tu clúster, es posible que te envíes una notificación de clúster SecurityBulletinEvent
que proporcione información sobre la vulnerabilidad y las acciones que puedes realizar, si aplicables. Para obtener información sobre cómo configurar las notificaciones de clústeres, consulta Notificaciones de clústeres.
Para obtener más información sobre cómo administra Google las vulnerabilidades y los parches de seguridad para GKE y GKE Enterprise, consulta Parches de seguridad.
Las plataformas GKE y GKE Enterprise no usan componentes
como ingress-nginx
y el entorno de ejecución del contenedor CRI-O, y no se ven afectadas
debido a las vulnerabilidades
en esos componentes. Si instalas componentes desde
y otras fuentes, consulta las actualizaciones de seguridad y los consejos sobre parches de esos
componentes en el origen.
Usa este feed XML para suscribirte a los boletines de seguridad de esta página.
GCP-2024-044
Fecha de publicación: 16/07/2024
Referencia:
CVE-2024-36972
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GDC (VMware)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GDC (bare metal)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución. |
Ninguno |
GCP-2024-043
Fecha de publicación: 16/07/2024
Referencia:
CVE-2024-26921
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GDC (VMware)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GDC (bare metal)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución. |
Ninguno |
GCP-2024-042
Fecha de publicación: 15/07/2024
Referencia:
CVE-2024-26809
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GDC (VMware)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GDC (bare metal)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución. |
Ninguno |
GCP-2024-041
Fecha de publicación: 8/7/2024
Referencia:
CVE-2023-52654 y CVE-2023-52656
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GDC (VMware)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GDC (bare metal)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución. |
Ninguno |
GCP-2024-040
Fecha de publicación: 1/7/2024
Actualización: 11-07-2024
Referencia:
CVE-2024-6387
Actualización del 11/07/2024: Se agregaron versiones de parche para el software de GDC para VMware. GKE en AWS y GKE en Azure.
Actualización del 3/7/2024: Se agregaron versiones de parche para GKE
2 de julio de 2024 Actualizaciones:
- Se aclaró que los clústeres de Autopilot se ven afectados y requerirán una acción del usuario.
- Se agregaron evaluaciones de impacto y pasos de mitigación para GDC (VMware), GKE en AWS y GKE en Azure.
- Se corrigió el boletín de seguridad de GDC (bare metal) para aclarar que GDC (bare metal) no está directamente y que los clientes deben consultar a los proveedores del SO en busca de parches.
GKE
Actualización: 3 de julio de 2024
Descripción | Gravedad |
---|---|
Actualización del 3/7/2024: Hay un lanzamiento acelerado en curso y que las nuevas versiones del parche estén disponibles en todas las zonas 3 de julio de 2024 a las 5 p.m., hora de verano del Pacífico de EE.UU. y Canadá (UTC-7). Para recibirás una notificación apenas haya un parche disponible para tu clúster específico, usa notificaciones de clúster. Actualización del 2/7/2024: Esta vulnerabilidad afecta tanto al modo Autopilot y los clústeres en modo Estándar. En cada sección a continuación, se te indicarán los modos a las que se aplica la sección correspondiente. Una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, se descubrió recientemente en OpenSSH. La vulnerabilidad se aprovecha de una condición de carrera que podría usarse para obtener acceso a un shell remoto, lo que permite a los atacantes obtener acceso a nodos de GKE. Al momento de la publicación, se cree que la explotación y demoran varias horas por cada máquina atacada. No conocemos ninguna de explotación infantil. Todas las versiones compatibles de las imágenes de Container Optimized OS y Ubuntu en GKE que ejecutan versiones de OpenSSH que son vulnerables a este problema. Clústeres de GKE con direcciones IP de nodo públicas y SSH expuestas a Internet deben tratarse con la máxima prioridad para la mitigación. El plano de control de GKE no es vulnerable a este problema. ¿Qué debo hacer?Actualización del 3/7/2024: Versiones de parches para GKEHay un lanzamiento acelerado en curso y se espera que se creen nuevas versiones de parches disponible en todas las zonas a partir del 3 de julio de 2024 a las 5 p.m., hora de verano del Pacífico de EE.UU. y Canadá (UTC-7). Los clústeres y nodos con la actualización automática habilitada comenzarán a actualizarse a medida que avance la semana. pero, debido a la gravedad de la vulnerabilidad, recomendamos actualizarlo manualmente como se indica a continuación. obtener parches lo más rápido posible. Para los clústeres de Autopilot y Standard, actualizar el plano de control a una versión con parche. Además, para los clústeres en modo Estándar, actualizar los grupos de nodos a una versión con parche. Los clústeres de Autopilot comenzarán a actualizar tus nodos para que coincidan la versión del plano de control lo antes posible. Las versiones de GKE con parches están disponibles para cada versión compatible a fin de minimizarla de los cambios necesarios para aplicar el parche. El número de versión de cada versión nueva es un se incrementa en el último dígito del número de versión de la versión existente correspondiente. Por ejemplo, si estás en 1.27.14-gke.1100000, actualizarás a 1.27.14-gke.1100002 para obtener la solución con el cambio más pequeño posible. Los siguientes GKE con parches versiones disponibles:
Para verificar si hay un parche disponible en la zona o región del clúster, ejecuta el siguiente comando: : gcloud container get-server-config --location=
Reemplaza Actualización del 2/7/2024: Tanto el modo Autopilot como el modo Standard los clústeres se deben actualizar lo antes posible después de que estén disponibles las versiones de parche. Se creará una versión de GKE con parche que incluya un OpenSSH actualizado lo antes posible. Este boletín se actualizará cuando haya parches disponibles. Para recibir una notificación de Pub/Sub cuando haya un parche disponible para tu canal, Habilitar las notificaciones del clúster. Te recomendamos seguir estos pasos para verificar la exposición de tu clúster y aplicando las mitigaciones que se describieron, según sea necesario. Determina si tus nodos tienen direcciones IP públicasActualización del 2/7/2024: Esta sección se aplica a Autopilot y Clústeres estándar. Si se crea un clúster con
gcloud container clusters describe $CLUSTER_NAME \ --format="value(privateClusterConfig.enablePrivateNodes)" Si el valor que se muestra es True, todos los nodos son privados para este clúster y el y mitigar la vulnerabilidad. Si el valor está vacío o es falso, continúa para aplicar uno de las mitigaciones en las siguientes secciones. Para encontrar todos los clústeres creados originalmente con nodos públicos, usa esta consulta de Cloud Asset Inventory en el proyecto o la organización: SELECT resource.data.name AS cluster_name, resource.parent AS project_name, resource.data.privateClusterConfig.enablePrivateNodes FROM `container_googleapis_com_Cluster` WHERE resource.data.privateClusterConfig.enablePrivateNodes is null OR resource.data.privateClusterConfig.enablePrivateNodes = false Inhabilita la conexión SSH a los nodos del clústerActualización del 2/7/2024: Esta sección se aplica a Autopilot y Clústeres estándar. La red predeterminada se prepropaga con una regla de firewall
Si creaste otras reglas de firewall que permitan SSH a través de TCP en el puerto 22, inhabilitarlas o limitar las IP de origen a redes de confianza. Verifica que ya no puedas establecer conexiones SSH con los nodos del clúster desde Internet. Esta configuración de firewall mitiga la vulnerabilidad. Convertir grupos de nodos públicos en privadosActualización del 2/7/2024: Para los clústeres de Autopilot creados originalmente como clústeres públicos, puedes colocar tus cargas de trabajo en nodos privados mediante nodeSelectors. Sin embargo, los nodos de Autopilot que ejecutan cargas de trabajo del sistema creados como clústeres públicos seguirán siendo nodos públicos y se deben con los cambios de firewall descritos en la sección anterior. Para proteger mejor los clústeres creados originalmente con nodos públicos, te recomendamos inhabilitar SSH a través del firewall como ya se describió. Si no puedes rechazar SSH a través de las reglas de firewall, puedes convertir grupos de nodos públicos en GKE De los clústeres estándar a privados, sigue esta guía para aislar los grupos de nodos. Cambiar la configuración de SSHDActualización del 2/7/2024: Esta sección solo se aplica a las ediciones entre los clústeres de Kubernetes. Las cargas de trabajo de Autopilot no tienen permiso para modificar la configuración de nodos. Si no se puede aplicar ninguna de estas mitigaciones, también publicamos un daemonset.
que configura |
Crítico |
GDC (VMware)
Actualización: 11/07/2024
Descripción | Gravedad |
---|---|
Actualización del 11/07/2024: Las siguientes versiones del software de GDC para VMware se actualizaron con código para solucionar esta vulnerabilidad. Actualizar la estación de trabajo de administrador de administrador y de usuario (incluidos los grupos de nodos) a una de las siguientes opciones: en diferentes versiones o posteriores. Para obtener instrucciones, consulta Actualiza un clúster o un grupo de nodos.
La actualización del 2/7/2024 a este boletín indicó incorrectamente que todas las versiones compatibles de imágenes de Ubuntu en el software de GDC para VMware ejecutan versiones de OpenSSH que son vulnerable a este problema. Imágenes de Ubuntu en el software de GDC para la versión 1.16 de VMware Los clústeres ejecutan versiones de OpenSSH que no son vulnerables a este problema. Ubuntu Las imágenes del software de GDC para VMware 1.28 y 1.29 son vulnerables. imágenes de Container-Optimized OS en todas las versiones compatibles de El software de GDC para VMware es vulnerable a este problema. Actualización del 2/7/2024: Todas las versiones compatibles de Container-Optimized OS y las imágenes de Ubuntu en el software de GDC para VMware ejecutan versiones de OpenSSH que son vulnerables a este problema. software de GDC para clústeres de VMware con direcciones IP de nodo público y SSH expuestos al Internet debe tratarse con la máxima prioridad para la mitigación. Una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, se descubrió recientemente en OpenSSH. La vulnerabilidad se aprovecha de una condición de carrera que podría usarse para obtener acceso a un shell remoto, lo que permite a los atacantes obtener acceso a nodos de GKE. Al momento de la publicación, se cree que la explotación y demoran varias horas por cada máquina atacada. No conocemos ninguna de explotación infantil. ¿Qué debo hacer?Actualización del 2/7/2024: Es una versión de software de GDC con parches para VMware que incluye un OpenSSH actualizado estará disponible lo antes posible. Este boletín se actualizará cuando haya parches disponibles. Te recomendamos que apliques lo siguiente y mitigaciones según sea necesario. Inhabilita la conexión SSH a los nodos del clústerPuedes cambiar la configuración de red de tu infraestructura para inhabilitar la conectividad SSH fuentes no confiables, como la Internet pública. Cambiar la configuración de SSHDSi no puedes aplicar la mitigación anterior, tenemos
publicó un DaemonSet
que establece el |
Crítico |
GKE en AWS
Actualización: 11/07/2024
Descripción | Gravedad |
---|---|
Actualización del 11/07/2024: Las siguientes versiones de GKE en AWS se actualizaron con código para corregir esta vulnerabilidad:
Actualiza el plano de control y los grupos de nodos de GKE en AWS a uno de los siguientes con parches o versiones posteriores. Para obtener instrucciones, consulta Actualiza la versión de tu clúster de AWS y Actualiza un grupo de nodos. Actualización del 2/7/2024: Todas las versiones compatibles de imágenes de Ubuntu en GKE on AWS ejecuta versiones de OpenSSH que son vulnerables a este problema. Los clústeres de GKE en AWS con direcciones IP de nodo público y SSH expuestos al Internet debe tratarse con la máxima prioridad para la mitigación. Una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, se descubrió recientemente en OpenSSH. La vulnerabilidad se aprovecha de una condición de carrera que podría usarse para obtener acceso a un shell remoto, lo que permite a los atacantes obtener acceso a nodos de GKE. Al momento de la publicación, se cree que la explotación y demoran varias horas por cada máquina atacada. No conocemos ninguna de explotación infantil. ¿Qué debo hacer?Actualización del 2/7/2024: Una versión de GKE on AWS con parches que incluye un OpenSSH actualizado estará disponible lo antes posible. Este boletín se actualizará cuando haya parches disponibles. Te recomendamos que revises el siguientes para verificar la exposición de tu clúster y aplicar las mitigaciones que se describieron como necesario. Determina si tus nodos tienen direcciones IP públicasGKE on AWS no aprovisiona ninguna máquina con direcciones IP públicas o con reglas de firewall que permitan el tráfico al puerto 22 de forma predeterminada. Sin embargo, según la configuración de subred pueden obtener automáticamente una dirección IP pública durante el aprovisionamiento. Para verificar si los nodos están aprovisionados con direcciones IP públicas, la configuración de la subred asociada con el recurso del grupo de nodos de AWS. Inhabilita la conexión SSH a los nodos del clústerAunque GKE en AWS no permite el tráfico en el puerto 22 en ningún nodo de forma predeterminada, los clientes pueden adjuntar grupos de seguridad adicionales a los grupos de nodos, lo que habilita el tráfico SSH. Te recomendamos eliminar o reducir el alcance a las reglas correspondientes de los grupos de seguridad proporcionados. Convertir grupos de nodos públicos en privadosPara proteger mejor los clústeres con nodos públicos, recomendamos primero inhabilitar el grupo de seguridad, como se describió en la sección anterior. Si no puedes inhabilitar SSH mediante las reglas de grupos de seguridad, puedes convertir grupos de nodos públicos en privados inhabilitación de la opción para asignar automáticamente IP públicas a las máquinas dentro de una subred y el reaprovisionamiento del grupo de nodos. |
Crítico |
GKE en Azure
Actualización: 11/07/2024
Descripción | Gravedad |
---|---|
Actualización del 11/07/2024: Las siguientes versiones de GKE en Azure se actualizaron con código para corregir esta vulnerabilidad:
Actualiza el plano de control y los grupos de nodos de GKE en Azure a uno de los siguientes con parches o versiones posteriores. Para obtener instrucciones, consulta Actualiza la versión del clúster de Azure y Actualiza un grupo de nodos. Actualización del 2/7/2024: Todas las versiones compatibles de imágenes de Ubuntu en GKE en Azure ejecutan versiones de OpenSSH que son vulnerables a este problema. GKE en clústeres de Azure con direcciones IP de nodo público y SSH expuestos al Internet debe tratarse con la máxima prioridad para la mitigación. Una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, se descubrió recientemente en OpenSSH. La vulnerabilidad se aprovecha de una condición de carrera que podría usarse para obtener acceso a un shell remoto, lo que permite a los atacantes obtener acceso a nodos de GKE. Al momento de la publicación, se cree que la explotación y demoran varias horas por cada máquina atacada. No conocemos ninguna de explotación infantil. ¿Qué debo hacer?Actualización del 2/7/2024: Una versión de GKE con parche en Azure que incluye un OpenSSH actualizado estará disponible lo antes posible. Este boletín se actualizará cuando haya parches disponibles. Te recomendamos que revises el siguientes para verificar la exposición de tu clúster y aplicar las mitigaciones que se describieron como necesario. Determina si tus nodos tienen direcciones IP públicasGKE en Azure no aprovisiona ninguna máquina con direcciones IP públicas o con reglas de firewall que permitan el tráfico al puerto 22 de forma predeterminada. Para revisar tu Configuración de Azure para verificar si hay direcciones IP públicas configuradas en tu clúster de GKE en Azure, ejecuta el siguiente comando: az network public-ip list -g
Inhabilita la conexión SSH a los nodos del clústerAunque GKE en Azure no permite el tráfico en el puerto 22 en ningún nodo, predeterminada, los clientes pueden actualizar reglas NetworkSecurityGroup a grupos de nodos, lo que habilita Tráfico SSH de la Internet pública Te recomendamos que revises los grupos de seguridad de red (NSG) asociados con los clústeres de Kubernetes. Si existe una regla NSG que permite el tráfico entrante sin restricciones en el puerto 22 (SSH), realiza una de las siguientes acciones:
Convertir grupos de nodos públicos en privadosPara proteger mejor los clústeres con nodos públicos, recomendamos primero inhabilitar el grupo de seguridad, como se describió en la sección anterior. Si no puedes inhabilitar SSH mediante las reglas de grupos de seguridad, puedes convertir grupos de nodos públicos en privados quitando las direcciones IP públicas asociadas a las VMs. Para quitar una dirección IP pública de una VM y reemplazarla por una dirección IP privada configuración, consulta Disocia una dirección IP pública de una VM de Azure. Impacto: Se perderán todas las conexiones existentes que usen la dirección IP pública interrumpida. Asegúrate de tener métodos de acceso alternativos, como una VPN o Bastión Azure. |
Crítico |
GDC (bare metal)
Actualización: 2 de julio de 2024
Descripción | Gravedad |
---|---|
Actualización del 2-7-2024: La versión original de este boletín para El software de GDC para Bare Metal indicaba de forma incorrecta que las versiones de parche estaban en curso. El software de GDC para Bare Metal no se ve directamente afectado porque no administra la el daemon o la configuración de SSH del sistema operativo. Por lo tanto, las versiones de parche son responsabilidad del proveedor del sistema operativo, como se describe en el ¿Qué debo hacer?. Una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, se descubrió recientemente en OpenSSH. La vulnerabilidad se aprovecha de una condición de carrera que podría usarse para obtener acceso a un shell remoto, lo que permite a los atacantes obtener acceso a nodos de GKE. Al momento de la publicación, se cree que la explotación y demoran varias horas por cada máquina atacada. No conocemos ninguna de explotación infantil. ¿Qué debo hacer?Actualización del 2/7/2024: Comunícate con tu proveedor de SO para obtener un parche para el sistemas operativos en uso con el software de GDC para Bare Metal. Hasta que apliques el parche del proveedor del SO, asegúrate de que las máquinas accesibles
permitir conexiones SSH desde Internet. Si eso no es posible, una alternativa es
Establece grep "^LoginGraceTime" /etc/ssh/sshd_config LoginGraceTime 0 Ten en cuenta que este cambio de configuración puede aumentar el riesgo de ataques de denegación del servicio. y puede causar problemas con el acceso SSH legítimo. Texto original del 1 de julio de 2024 (consulta la actualización del 2 de julio de 2024 anterior para obtener una corrección): |
Crítico |
GCP-2024-039
Fecha de publicación: 28/06/2024
Referencia:
CVE-2024-26923
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GDC (VMware)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GDC (bare metal)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución. |
Ninguno |
GCP-2024-038
Fecha de publicación: 26/06/2024
Referencia:
CVE-2024-26924
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GDC (VMware)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GDC (bare metal)
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución. |
Ninguno |
GCP-2024-036
Fecha de publicación: 18/06/2024
Referencia:
CVE-2024-26584
GKE
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-035
Fecha de publicación: 12/06/2024
Referencia:
CVE-2024-26584
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas, pero no tienen una versión de parche disponible. Más tarde actualiza este boletín cuando haya versiones de parche disponibles:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-034
Fecha de publicación: 11/06/2024
Última actualización: 10/07/2024
Referencia:
CVE-2024-26583
Actualización del 10/07/2024: Se agregaron versiones de parche para Nodos de Container-Optimized OS que ejecutan las versiones secundarias 1.26 y 1.27 y agregamos versiones de parches para nodos de Ubuntu.
GKE
Actualización: 10/07/2024
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 10/07/2024: Las siguientes versiones de GKE son y se actualizó con código para solucionar esta vulnerabilidad. Actualiza los grupos de nodos de Ubuntu a uno de los a las siguientes versiones de parche o posteriores:
En las versiones secundarias 1.26 y 1.27, actualiza los grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posteriores:
Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-033
Fecha de publicación: 10/06/2024
Referencia:
CVE-2022-23222
GKE
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrieron las siguientes vulnerabilidades en el kernel de Linux que pueden provocar a una elevación de privilegios en los nodos de Container-Optimized OS:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-031
Fecha de publicación: 24/05/2024
Referencia: CVE-2024-4323
GKE
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución remota de código. Las versiones de Fluent Bit 2.0.7 a 3.0.3 se ven afectadas. GKE no usa una versión vulnerable de Fluent Bit y no se ve afectado. ¿Qué debo hacer?GKE no se ve afectado por esta vulnerabilidad. No es necesario que realices ninguna acción. |
Ninguno |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución remota de código. Las versiones de Fluent Bit 2.0.7 a 3.0.3 se ven afectadas. GKE alojado en VMware no usa una versión vulnerable de Fluent Bit y no se vean afectados. ¿Qué debo hacer?GKE en VMware no se ve afectado por esta vulnerabilidad. No es necesario que realices ninguna acción. |
Ninguno |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución remota de código. Las versiones de Fluent Bit 2.0.7 a 3.0.3 se ven afectadas. GKE en AWS no usa una versión vulnerable de Fluent Bit y no se vean afectados. ¿Qué debo hacer?GKE on AWS no se ve afectado por esta vulnerabilidad. No es necesario que realices ninguna acción. |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución remota de código. Las versiones de Fluent Bit 2.0.7 a 3.0.3 se ven afectadas. GKE en Azure no usa una versión vulnerable de Fluent Bit y no se vean afectados. ¿Qué debo hacer?Esta vulnerabilidad no afecta a GKE en Azure. No es necesario que realices ninguna acción. |
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución remota de código. Las versiones de Fluent Bit 2.0.7 a 3.0.3 se ven afectadas. GKE en Bare Metal no usa una versión vulnerable de Fluent Bit y no se vean afectados. ¿Qué debo hacer?GKE en Bare Metal no se ve afectado por esta vulnerabilidad. No es necesario que realices ninguna acción. |
Ninguno |
GCP-2024-030
Fecha de publicación: 15/05/2024
Referencia:
CVE-2023-52620
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-029
Fecha de publicación: 14/05/2024
Referencia:
CVE-2024-26642
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-028
Fecha de publicación: 13/05/2024
Última actualización: 22-05-2024
Referencia:
CVE-2024-26581
Actualización del 22/05/2024: Se agregaron versiones de parche para los nodos de Ubuntu.
GKE
Última actualización: 22-05-2024
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 22/05/2024: Las siguientes versiones de GKE son se actualizó con código para corregir esta vulnerabilidad en Ubuntu. Actualiza los grupos de nodos de Ubuntu a las siguientes versiones o a una posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-027
Fecha de publicación: 8/5/2024
Última actualización: 9 de mayo de 2024, 15 de mayo de 2024
Referencia:
CVE-2024-26808
Actualización del 15/05/2024: Se agregaron versiones de parche para GKE Grupos de nodos de Ubuntu.
Actualización del 9/5/2024: Se corrigió la gravedad de media a alta y Se aclaró que los clústeres de GKE Autopilot en la configuración predeterminada no están afectadas.
GKE
Última actualización: 9 de mayo de 2024, 15 de mayo de 2024
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Actualización del 9/5/2024: Se corrigió la gravedad de media a alta.
En el boletín original, se indicaba que Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 15/05/2024: Las siguientes versiones de GKE son se actualizó con código para corregir esta vulnerabilidad en Ubuntu. Actualiza los grupos de nodos de Ubuntu a las siguientes versiones o a una posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-026
Fecha de publicación: 7/5/2024
Actualización: 9 de mayo de 2024
Referencia:
CVE-2024-26643
Actualización del 9/5/2024: Se corrigió la gravedad de media a alta.
GKE
Última actualización: 9/5/2024
Descripción | Gravedad |
---|---|
Actualización del 9/5/2024: Se corrigió la gravedad de media a alta. Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-024
Fecha de publicación: 25/04/2024
Referencia:
CVE-2024-26585
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-022
Fecha de publicación: 3/4/2024
Actualización: 9 de julio de 2024
Referencia: CVE-2023-45288
Actualización del 9/7/2024: Se agregaron versiones de parches para GKE en Bare Metal.
Actualización del 24/04/2024: Se agregaron versiones de parche para GKE.
GKE
Actualización: 24/04/2024
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). Los clústeres de GKE con redes autorizadas configuradas se protegen limitando el acceso a la red, pero todos los demás clústeres se ven afectados. Los clústeres de GKE Autopilot y Standard se ven afectados. ¿Qué debo hacer?Actualización del 24/04/2024: Se agregaron versiones de parche para GKE. Las siguientes versiones de GKE incluyen los parches de seguridad de Golang para corregir esta vulnerabilidad. Actualiza los clústeres de GKE a las siguientes versiones o posteriores:
El proyecto golang lanzó parches el 3 de abril de 2024. Actualizaremos este boletín cuando estén disponibles las versiones de GKE que incorporan estos parches. Para solicitar un parche en un cronograma acelerado, comunícate con el equipo de asistencia. Mitigación mediante la configuración de redes autorizadas para el acceso al plano de control:Puedes mitigar tus clústeres de esta clase de ataques configurando redes autorizadas. Sigue las instrucciones para habilitar redes autorizadas en un clúster existente. Para obtener más información sobre cómo las redes autorizadas controlan el acceso al plano de control, consulta Cómo funcionan las redes autorizadas. Para ver el acceso a la red autorizada predeterminada, consulta la tabla de la sección Acceso a los extremos del plano de control. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad (CVE-2023-45288) permite que un atacante ejecute un ataque DoS en el plano de control de Kubernetes. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). ¿Qué debo hacer?El proyecto golang lanzó parches el 3 de abril de 2024. Actualizaremos este boletín cuando estén disponibles las versiones de GKE en VMware que incluyan estos parches. Para solicitar un parche en un cronograma acelerado, comunícate con el equipo de asistencia. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad (CVE-2023-45288) permite que un atacante ejecute un ataque DoS en el plano de control de Kubernetes. |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). ¿Qué debo hacer?El proyecto golang lanzó parches el 3 de abril de 2024. Actualizaremos este boletín cuando estén disponibles las versiones de GKE on AWS que incorporen estos parches. Para solicitar un parche en un cronograma acelerado, comunícate con el equipo de asistencia. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad (CVE-2023-45288) permite que un atacante ejecute un ataque DoS en el plano de control de Kubernetes. |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). ¿Qué debo hacer?El proyecto golang lanzó parches el 3 de abril de 2024. Actualizaremos este boletín cuando estén disponibles las versiones de GKE en Azure que incorporan estos parches. Para solicitar un parche en un cronograma acelerado, comunícate con el equipo de asistencia. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad (CVE-2023-45288) permite que un atacante ejecute un ataque DoS en el plano de control de Kubernetes. |
Alta |
GKE on Bare Metal
Última actualización: 9/7/2024
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). ¿Qué debo hacer?Actualización del 9/7/2024: Se agregaron versiones de parches para GKE en Bare Metal. Las siguientes versiones de GKE en Bare Metal incluyen código para corregir esto en la nube. Actualiza tus clústeres de GKE en Bare Metal a lo siguiente o posteriores:
El proyecto golang lanzó parches el 3 de abril de 2024. Actualizaremos este boletín cuando estén disponibles las versiones de GKE en Bare Metal que incorporan estos parches. Para solicitar un parche en un cronograma acelerado, comunícate con el equipo de asistencia. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad (CVE-2023-45288) permite que un atacante ejecute un ataque DoS en el plano de control de Kubernetes. |
Alta |
GCP-2024-018
Fecha de publicación: 12/03/2024
Actualización: 6 de mayo de 2024
Referencia:
CVE-2024-1085
Actualización del 6/5/2024: Se agregaron versiones de parches para Ubuntu de GKE. grupos de nodos y se quitó un elemento de línea horizontal adicional de la actualización del 4/4/2024.
Actualización del 4/4/2024: Se corrigieron las versiones mínimas de Grupos de nodos de GKE Container-Optimized OS.
GKE
Actualización: 6/5/2024
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 6/5/2024: Las siguientes versiones de GKE son se actualizó con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu al en las siguientes versiones o posteriores.
Actualización del 4/4/2024: Se corrigieron las versiones mínimas de los grupos de nodos de Container-Optimized OS de GKE. Las versiones mínimas de GKE que contienen las correcciones de Container-Optimized OS enumeradas anteriormente eran incorrectas. Las siguientes versiones de GKE se actualizan con código para corregir esta vulnerabilidad en Container-Optimized OS. Actualiza los grupos de nodos de Container-Optimized OS a las siguientes versiones o a versiones posteriores:
Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-017
Fecha de publicación: 6 de marzo de 2024
Referencia:
CVE-2023-3611
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguno |
GCP-2024-014
Fecha de publicación: 2024-02-26
Referencia:
CVE-2023-3776
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2024-013
Fecha de publicación: 2024-02-23
Referencia:
CVE-2023-3610
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2024-012
Fecha de publicación: 2024-02-20
Referencia:
CVE-2024-0193
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2024-011
Fecha de publicación: 2024-02-15
Referencia:
CVE-2023-6932
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2024-010
Fecha de publicación: 14/02/2024
Actualización: 17/04/2024
Referencia:
CVE-2023-6931
Actualización del 17/04/2024: Se agregaron versiones de parches para GKE en VMware.
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Actualización: 17/04/2024
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?Actualización del 17/04/2024: Se agregaron versiones de parches para GKE en VMware. Las siguientes versiones de GKE en VMware se actualizan con código para corregir esta vulnerabilidad. Actualiza tus clústeres a las siguientes versiones o posteriores:
|
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2024-008
Fecha de publicación: 2024-02-12
Referencia: CVE-2023-5528
GKE
Descripción | Gravedad |
---|---|
CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en nodos de Windows de forma tal que se permita la elevación de privilegios de administrador en esos nodos. Los clústeres de GKE Standard que ejecutan nodos de Windows Server y el uso de un complemento de almacenamiento en árbol podrían verse afectados. clústeres de GKE Autopilot y de grupos de nodos de GKE con GKE Sandbox no son porque no admiten nodos de Windows Server. ¿Qué debo hacer?Determina si tienes nodos de Windows Server en uso en tus clústeres: kubectl get nodes -l kubernetes.io/os=windows Revise los registros de auditoría en busca de evidencia de explotación. Los registros de auditoría de Kubernetes se pueden auditar determinar si esta vulnerabilidad se está explotando. PersistentVolumes crea eventos con los campos de rutas locales que contienen caracteres especiales son un fuerte indicador de explotación. Actualiza el clúster y los grupos de nodos de GKE a una versión con parche. El se actualizaron las siguientes versiones de GKE para corregir esta vulnerabilidad. Incluso si habilitaste la actualización automática de nodos, te recomendamos actualización manual tu clúster y los grupos de nodos de Windows Server a uno de los siguientes o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. ¿Qué vulnerabilidades trata este parche?CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en nodos de Windows de forma tal que se permita la elevación de privilegios de administrador en esos nodos. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en nodos de Windows de forma tal que se permita la elevación de privilegios de administrador en esos nodos. Clústeres de GKE alojados en VMware que se ejecutan Windows Server y el uso de un complemento de almacenamiento de árbol podría verse afectado. ¿Qué debo hacer?Determina si tienes nodos de Windows Server en uso en tus clústeres: kubectl get nodes -l kubernetes.io/os=windows Revise los registros de auditoría en busca de evidencia de explotación. Los registros de auditoría de Kubernetes se pueden auditar determinar si esta vulnerabilidad se está explotando. PersistentVolumes crea eventos con los campos de rutas locales que contienen caracteres especiales son un fuerte indicador de explotación. Actualizar tu clúster y grupos de nodos de GKE alojados en VMware a una versión con parche El se actualizaron las siguientes versiones de GKE en VMware para corregir esta vulnerabilidad. Incluso si habilitaste la actualización automática de nodos, te recomendamos actualización manual del clúster y los grupos de nodos de Windows Server a uno de los siguientes GKE alojados en VMware o posteriores:
¿Qué vulnerabilidades trata este parche?CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en nodos de Windows de forma tal que se permita la elevación de privilegios de administrador en esos nodos. |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en nodos de Windows de forma tal que se permita la elevación de privilegios de administrador en esos nodos. Los clústeres de GKE en AWS no se ven afectados. ¿Qué debo hacer?No es necesario realizar ninguna acción |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en nodos de Windows de forma tal que se permita la elevación de privilegios de administrador en esos nodos. Los clústeres de GKE en Azure no se ven afectados. ¿Qué debo hacer?No es necesario realizar ninguna acción |
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
CVE-2023-5528 permite que un atacante cree Pods y volúmenes persistentes en nodos de Windows de forma tal que se permita la elevación de privilegios de administrador en esos nodos. Los clústeres de GKE en Bare Metal no se ven afectados. ¿Qué debo hacer?No es necesario realizar ninguna acción |
Ninguna |
GCP-2024-005
Fecha de publicación: 31/01/2024
Actualización: 6 de mayo de 2024
Referencia: CVE-2024-21626
Actualización del 6/5/2024: Se agregaron versiones de parches para GKE en AWS y GKE en Azure.
Actualización del 2/4/2024: Se agregaron versiones de parches para GKE en Bare Metal
Actualización del 6/3/2024: Se agregaron versiones de parche para GKE en VMware
Actualización del 28/2/2024: Se agregaron versiones de parches para Ubuntu
Actualización del 15/2/2024: Se aclaró que las versiones de parche de Ubuntu 1.25 y 1.26 en la
la actualización del 14/02/2024 podría causar nodos en mal estado.
Actualización del 14/2/2024: Se agregaron versiones de parches para Ubuntu
Actualización del 6/2/2024: Se agregaron versiones de parches para Container-Optimized OS.
GKE
Última actualización: 6/3/2024
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en Los clústeres de GKE Standard y Autopilot se ven afectados. Clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 28/02/2024: Las siguientes versiones de GKE tienen con código para solucionar esta vulnerabilidad en Ubuntu. Actualiza los grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Actualización del 15/2/2024: Debido a un problema, las siguientes versiones de parche de Ubuntu de la actualización del 14/02/2024 podría hacer que tus nodos entren en un estado en mal estado. Lo que no debes hacer actualiza a las siguientes versiones de parche. Actualizaremos este boletín cuando el parche más reciente disponibles para Ubuntu 1.25 y 1.26.
Si ya actualizaste a una de estas versiones de parche, cambiar a una versión inferior manualmente del grupo de nodos a una versión anterior en tu canal de versiones. Actualización del 14/2/2024: Las siguientes versiones de GKE tienen con código para solucionar esta vulnerabilidad en Ubuntu. Actualiza los grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Actualización del 06/02/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Container-Optimized OS. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y los grupos de nodos de Container-Optimized OS a una de las siguientes versiones de GKE o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. Estamos actualizando GKE con código para corregir esta vulnerabilidad. Actualizaremos esta cuando hay versiones de parche disponibles. ¿Qué vulnerabilidades trata este parche?
|
Alta |
GKE en VMware
Última actualización: 6/3/2024
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en ¿Qué debo hacer?Actualización del 6/3/2024: Las siguientes versiones de GKE en VMware tienen con código para solucionar esta vulnerabilidad. Actualiza tus clústeres a las siguientes versiones o posteriores:
Las versiones de parche y una evaluación de gravedad para GKE en VMware están en curso. Actualizaremos este boletín con esa información cuando esté disponible. ¿Qué vulnerabilidades trata este parche?
|
Alta |
GKE en AWS
Actualización: 6/5/2024
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en ¿Qué debo hacer?Actualización del 6/5/2024: Las siguientes versiones de GKE en AWS tienen se actualizaron con parches para CVE-2024-21626:
Las versiones de parche y una evaluación de gravedad para GKE en AWS están en curso. Actualizaremos este boletín con esa información cuando esté disponible. ¿Qué vulnerabilidades trata este parche?
|
Alta |
GKE en Azure
Actualización: 6/5/2024
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en ¿Qué debo hacer?Actualización del 6/5/2024: Las siguientes versiones de GKE en Azure tienen se actualizaron con parches para CVE-2024-21626:
Las versiones de parche y una evaluación de gravedad para GKE en Azure están en curso. Actualizaremos este boletín con esa información cuando esté disponible. ¿Qué vulnerabilidades trata este parche?
|
Alta |
GKE on Bare Metal
Actualización: 2/4/2024
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad, CVE-2024-21626, en ¿Qué debo hacer?Actualización del 2/4/2024: Las siguientes versiones de GKE en Bare Metal tienen con código para solucionar esta vulnerabilidad. Actualiza tus clústeres a las siguientes versiones o posteriores:
Las versiones de parche y una evaluación de gravedad para GKE en Bare Metal están en curso. Actualizaremos este boletín con esa información cuando esté disponible. ¿Qué vulnerabilidades trata este parche?
|
Alta |
GCP-2024-004
Publicado: 24-01-2024
Actualizado: 07-02-2024
Referencia:
CVE-2023-6817
Actualización del 07/02/2024: Se agregaron versiones de parche para Ubuntu.
GKE
Última actualización: 07/02/2024
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 7/2/2024: Se verán afectadas las siguientes versiones secundarias. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2024-003
Fecha de publicación: 19/01/2024
Última actualización: 26/01/2024
Actualización del 26/01/2024: Se aclaró la cantidad de clústeres afectados y las medidas que tomamos para mitigar el impacto.
GKE
Última actualización: 26/01/2024
Descripción | Gravedad |
---|---|
Actualización del 26/01/2024: En la investigación de seguridad, se encontró una pequeña cantidad de
clústeres de GKE con una configuración incorrecta creada por el cliente que involucre
Se publicó el grupo Identificamos varios clústeres en los que los usuarios otorgaron
privilegios al grupo Recientemente, un investigador de seguridad informó los hallazgos de clústeres con RBAC a través de nuestro programa de informes de vulnerabilidades. El enfoque de Google respecto a la autenticación es autenticar
GKE sea lo más simple y seguro posible sin agregar pasos de configuración complejos.
La autenticación solo nos indica quién es el usuario, mientras que la autorización es la etapa en la que se determina el acceso. Entonces, el grupo Con esto en mente, tomamos varias medidas para reducir el riesgo de que los usuarios hagan errores de autorización con los usuarios y grupos integrados de Kubernetes, incluidos Para proteger a los usuarios de errores accidentales de autorización con estos usuarios y grupos del sistema, tomamos las siguientes medidas:
Los clústeres que aplican las políticas autorizadas
las restricciones de las redes tienen una primera capa de defensa: no pueden ser atacadas
directamente desde Internet. Pero aun así recomendamos quitar esas vinculaciones
de seguridad en profundidad y para protegerse
contra errores en los controles de red. Estamos investigando formas de brindar más protección contra el RBAC de los usuarios una mala configuración con estos usuarios y grupos del sistema mediante medidas de prevención de detección de intrusiones. ¿Qué debo hacer?Para evitar cualquier vinculación nueva de Las vinculaciones existentes deben revisarse según lo siguiente: esta guía. |
Media |
GKE en VMware
No hay actualizaciones por el momento.
GKE en AWS
No hay actualizaciones por el momento.
GKE en Azure
No hay actualizaciones por el momento.
GKE en Bare Metal
No hay actualizaciones por el momento.
GCP-2024-002
Publicado: 17-01-2024
Actualizado: 20-02-2024
Referencia:
CVE-2023-6111
Actualización del 20/02/2024: Se agregaron versiones de parche para GKE en VMware.
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Última actualización: 20-02-2024
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.
¿Qué debo hacer?Actualización del 20/02/2024: Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a las siguientes versiones o una posterior: 1.28.100 |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-051
Fecha de publicación: 28-12-2023
Referencia:
CVE-2023-3609
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-050
Fecha de publicación: 27-12-2023
Referencia:
CVE-2023-3389
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-049
Fecha de publicación: 20-12-2023
Referencia:
CVE-2023-3090
GKE
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Los clústeres de GKE Standard se ven afectados. GKE
Los clústeres de Autopilot en la configuración predeterminada no se ven afectados, pero pueden verse afectados.
vulnerable si estableces explícitamente el perfil Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-048
Publicado: 15-12-2023
Actualizado: 21-12-2023
Referencia:
CVE-2023-3390
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
GKE
Última actualización: 21-12-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-047
Published: 14-12-2023
GKE
Descripción | Gravedad |
---|---|
Un atacante que haya comprometido el contenedor de registro de Fluent Bit podría combinar eso acceso con privilegios altos que requiere Cloud Service Mesh (en clústeres que tienen habilitado) para escalar privilegios en el clúster. Los problemas con Fluent Bit y Se mitigó Cloud Service Mesh y ya hay correcciones disponibles. Estas vulnerabilidades no se pueden explotar por sí solos en GKE y requieren un compromiso inicial. No estamos al tanto de ningún caso de explotación de estas vulnerabilidades. Estos problemas se informaron mediante nuestro Programa de recompensas por detección de vulnerabilidades. ¿Qué debo hacer?Las siguientes versiones de GKE se actualizaron con código para corregir estas vulnerabilidades en Fluent Bit y para los usuarios de Cloud Service Mesh administrado. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y tus grupos de nodos a una de las siguientes versiones GKE o posteriores:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico Si tu clúster usa Cloud Service Mesh integrado, debes actualizar manualmente a uno de las siguientes versiones (notas de la versión):
¿Qué vulnerabilidades trata este parche? Las vulnerabilidades tratadas en este boletín requieren que un atacante comprometa la Contenedor de registro de Fluent Bit. No estamos al tanto de ninguna vulnerabilidad existente en Fluent Bit que conduciría a esta condición de requisito para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de refuerzo para evitar una posible la cadena de ataque completa en el futuro GKE usa Fluent Bit para procesar los registros de las cargas de trabajo que se ejecutan en clústeres. Fluent Bit en GKE también se configuró para recopilar registros cargas de trabajo de Cloud Run. La activación de volumen configurada para recopilar esos registros Acceso fluido de bits a tokens de cuentas de servicio de Kubernetes para otros Pods que se ejecutan en el nodo de inicio de sesión. El investigador utilizó este acceso para descubrir una cuenta de servicio con un gran nivel de privilegios para los clústeres que tienen habilitado Cloud Service Mesh. Cloud Service Mesh requería altos privilegios para realizar las modificaciones necesarias en un la configuración del clúster, incluida la capacidad de crear y borrar Pods. El investigador usó el token de la cuenta de servicio de Kubernetes con privilegios de Cloud Service Mesh y escalar sus privilegios iniciales comprometidos creando un nuevo Pod con privilegios de administrador de clústeres Hemos eliminado el acceso de Fluent Bit a los tokens de la cuenta de servicio y hemos rediseñamos la funcionalidad de Cloud Service Mesh para quitar el exceso de privilegios. |
Media |
GKE en VMware
Descripción | Gravedad |
---|---|
Solo se ven afectados los clústeres de GKE alojados en VMware que usan Cloud Service Mesh. ¿Qué debo hacer?Si tu clúster usa Cloud Service Mesh integrado, debes actualizar manualmente a una de las siguientes versiones (notas de la versión):
¿Qué vulnerabilidades trata este parche?Las vulnerabilidades tratadas en este boletín requieren que el atacante primero haga lo siguiente: vulnerar o salir de un contenedor de algún otro modo, o tener raíz en un nodo de clúster. Mié no conoce ninguna vulnerabilidad existente que pueda conducir a este requisito para la elevación de privilegios. Hemos parcheado estas vulnerabilidades como refuerzo para prevenir una posible cadena de ataques completa en el futuro. Cloud Service Mesh requería altos privilegios para realizar las modificaciones necesarias en un la configuración del clúster, incluida la capacidad de crear y borrar Pods. El investigador usó el token de la cuenta de servicio de Kubernetes con privilegios de Cloud Service Mesh privilegios iniciales comprometidos mediante la creación de un nuevo Pod con privilegios de administrador del clúster. Rediseñamos la funcionalidad de Cloud Service Mesh para quitar los servicios privilegios. |
Media |
GKE en AWS
Descripción | Gravedad |
---|---|
Solo se ven afectados los clústeres de GKE en AWS que usan Cloud Service Mesh. ¿Qué debo hacer?Si tu clúster usa Cloud Service Mesh integrado, debes actualización manual a una de las siguientes versiones (notas de la versión):
¿Qué vulnerabilidades trata este parche?Las vulnerabilidades tratadas en este boletín requieren que el atacante primero haga lo siguiente: vulnerar o salir de un contenedor de algún otro modo, o tener raíz en un nodo de clúster. Somos no conoce ninguna vulnerabilidad existente que pueda conducir a esta condición para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de refuerzo para prevenir una posible cadena de ataques completa en el futuro. Cloud Service Mesh requería altos privilegios para realizar las modificaciones necesarias en un la configuración del clúster, incluida la capacidad de crear y borrar Pods. El investigador usó el token de la cuenta de servicio de Kubernetes con privilegios de Cloud Service Mesh privilegios iniciales comprometidos mediante la creación de un nuevo Pod con privilegios de administrador del clúster. Rediseñamos la funcionalidad de Cloud Service Mesh para quitar los servicios privilegios. |
Media |
GKE en Azure
Descripción | Gravedad |
---|---|
Solo se ven afectados los clústeres de GKE en Azure que usan Cloud Service Mesh. ¿Qué debo hacer?Si tu clúster usa Cloud Service Mesh integrado, debes actualización manual a una de las siguientes versiones (notas de la versión):
¿Qué vulnerabilidades trata este parche?Las vulnerabilidades tratadas en este boletín requieren que el atacante primero haga lo siguiente: vulnerar o salir de un contenedor de algún otro modo, o tener raíz en un nodo de clúster. Somos no conoce ninguna vulnerabilidad existente que pueda conducir a esta condición para la elevación de privilegios. Aplicamos un parche en estas vulnerabilidades como medidas de refuerzo para prevenir una posible cadena de ataques completa en el futuro. Cloud Service Mesh requería altos privilegios para realizar las modificaciones necesarias en un la configuración del clúster, incluida la capacidad de crear y borrar Pods. El investigador usó el token de la cuenta de servicio de Kubernetes con privilegios de Cloud Service Mesh privilegios iniciales comprometidos mediante la creación de un nuevo Pod con privilegios de administrador del clúster. Rediseñamos la funcionalidad de Cloud Service Mesh para quitar los servicios privilegios. |
Media |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Solo se ven afectados los clústeres de GKE en Bare Metal que usan Cloud Service Mesh. ¿Qué debo hacer?Si tu clúster usa Cloud Service Mesh integrado, debes actualizar manualmente a una de las siguientes versiones (notas de la versión):
¿Qué vulnerabilidades trata este parche?Las vulnerabilidades tratadas en este boletín requieren que el atacante primero haga lo siguiente: vulnerar o salir de un contenedor de algún otro modo, o tener raíz en un nodo de clúster. Somos no conoce ninguna vulnerabilidad existente que pueda conducir a esta condición para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de refuerzo para prevenir una posible cadena de ataques completa en el futuro. Anthos Service Mesh requería privilegios altos para realizar las modificaciones necesarias en un la configuración del clúster, incluida la capacidad de crear y borrar Pods. El investigador usó el token de la cuenta de servicio de Kubernetes con privilegios de Cloud Service Mesh privilegios iniciales comprometidos mediante la creación de un nuevo Pod con privilegios de administrador del clúster. Rediseñamos la funcionalidad de Cloud Service Mesh para quitar los servicios privilegios. |
Media |
GCP-2023-046
Fecha de publicación: 22/11/2023
Actualización: 4 de marzo de 2024
Referencia:
CVE-2023-5717
Actualización del 4/3/2024: Se agregaron versiones de GKE para GKE en VMware.
Actualización del 22/1/2024: Se agregaron versiones de parches de Ubuntu.
GKE
Updated: 22/01/2024
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 22/01/2024: Se ven afectadas las siguientes versiones secundarias. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Actualización: 29/02/2024
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?Actualización del 4/3/2024: Las siguientes versiones de GKE en VMware se actualicen con código para solucionar esta vulnerabilidad. Actualiza los clústeres a las siguientes versiones o a una posterior:
|
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-045
Publicado: 20-11-2023
Actualizado: 21-12-2023
Referencia:
CVE-2023-5197
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
GKE
Última actualización: 21-12-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:
Las siguientes versiones secundarias se ven afectadas. Actualiza tu Grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posteriores:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión de parche será la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-042
Publicado: 13/11/2023
Actualizado: 15/11/2023
Referencia:
CVE-2023-4147
Actualización del 15/11/2023: Aclara que solo se deben actualizar las versiones secundarias de la lista. a la versión con parche correspondiente para GKE.
GKE
Actualizado: 15/11/2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Los clústeres de GKE Standard se ven afectados. Los clústeres de Autopilot de GKE no se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 15/11/2023: Solo debes actualizar a una de las versiones con parche. que se enumeran en este boletín si usas esa versión secundaria en tus nodos. Por ejemplo: Si usas la versión 1.27 de GKE, debes actualizar a la versión versión. Sin embargo, si usas la versión 1.24 de GKE, no necesitas actualizar a una versión con parche. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:
Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:
Puedes aplicar versiones de parche de los canales de versiones más recientes si tu clúster se ejecuta del mismo versión secundaria en su propio canal de versiones. Esta función te permite proteger los nodos hasta que la versión con parche se convierte en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más nuevo. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-041
Publicado: 2023-11-08
Actualizado: 21-11-2023, 05-12-2023, 21-12-2023
Referencia:
CVE-2023-4004
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
Actualización del 05/12/2023: Se agregaron versiones adicionales de GKE para los grupos de nodos de Container-Optimized OS.
Actualización del 21/11/2023: Aclara que solo las versiones secundarias enumeradas deben actualizarse a una versión de parche correspondiente para GKE.
GKE
Updated: 21-11-2023, 05-12-2023, 21-12-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir los clústeres de Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 5/12/2023: Algunas versiones de GKE anteriormente que faltaban. A continuación, se muestra una lista actualizada de las versiones de GKE a las que puedes actualizar tu Container-Optimized OS:
Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se mencionan en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no aparecen en la lista no se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:
Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:
|
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-040
Publicado: 06-11-2023
Actualizado: 21-11-2023, 21-12-2023
Referencia:
CVE-2023-4921
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
Actualización del 21/11/2023: Aclara que solo las versiones secundarias enumeradas deben actualizarse a una versión de parche correspondiente para GKE.
GKE
Última actualización: 21-11-2023, 21-12-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir los clústeres de Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se mencionan en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no aparecen en la lista no se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:
Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:
|
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-039
Publicado: 2023-11-06
Actualizado: 21-11-2023, 16-11-2023
Referencia:
CVE-2023-4622
Actualización del 21/11/2023: Aclara que solo las versiones secundarias enumeradas deben actualizarse a una versión de parche correspondiente para GKE.
Actualización del 16/11/2023: La vulnerabilidad asociada con este boletín de seguridad es CVE-2023-4622. CVE-2023-4623 se incluyó incorrectamente como la vulnerabilidad en una versión anterior del boletín de seguridad.
GKE
Última actualización: 21-11-2023, 16-11-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
los clústeres de Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se mencionan en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no aparecen en la lista no se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:
Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:
|
Alta |
GKE en VMware
Última actualización: 16-11-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Última actualización: 16-11-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Última actualización: 16-11-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Última actualización: 16-11-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-038
Publicado: 2023-11-06
Actualizado: 21-11-2023, 21-12-2023
Referencia:
CVE-2023-4623
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
Actualización del 21/11/2023: Aclara que solo las versiones secundarias enumeradas deben actualizarse a una versión de parche correspondiente para GKE.
GKE
Última actualización: 21-11-2023, 21-12-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir los clústeres de Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se mencionan en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no aparecen en la lista no se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:
Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:
|
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-037
Publicado: 06-11-2023
Actualizado: 12-11-2023, 21-12-2023
Referencia:
CVE-2023-4015
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
Actualización del 21/11/2023: Aclara que solo las versiones secundarias enumeradas deben actualizarse a una versión de parche correspondiente para GKE.
GKE
Última actualización: 21-11-2023, 21-12-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir los clústeres de Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se mencionan en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no aparecen en la lista no se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:
Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:
|
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Pendiente |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Ninguna |
GCP-2023-035
Publicación: 26/10/2023
Última actualización: 21/11/2023, 21/12/2023
Referencia:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
Actualización del 21/11/2023: Aclara que solo las versiones secundarias enumeradas deben actualizarse a una versión de parche correspondiente para GKE.
GKE
Última actualización: 21-11-2023, 21-12-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
los clústeres en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir los clústeres de Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se mencionan en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no aparecen en la lista no se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:
Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:
|
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
Alta |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
Alta |
GCP-2023-033
Publicado: 24-10-2023
Actualizado: 21-11-2023, 21-12-2023
Referencia:
CVE-2023-3777
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot de la configuración predeterminada no se ven afectadas y las cargas de trabajo de GKE Sandbox no se ven afectadas.
Actualización del 21/11/2023: Aclara que solo las versiones secundarias enumeradas deben actualizarse a una versión de parche correspondiente para GKE.
GKE
Última actualización: 21-11-2023, 21-12-2023
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
los clústeres en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir los clústeres de Autopilot se ven afectados. Los clústeres que usan GKE Sandbox se ven afectados. ¿Qué debo hacer?Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se mencionan en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no aparecen en la lista no se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:
Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o a una posterior:
|
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
GKE en AWS
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
GKE en Azure
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer? |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.
¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Bare Metal no se ve afectado, ya que no empaqueta un sistema operativo en su distribución. |
GCP-2023-030
Fecha de publicación: 10/10/2023
Última actualización: 20/03/2024
Referencia: CVE-2023-44487CVE-2023-39325
Actualización del 20/03/2024: Se agregaron versiones de parches para GKE en AWS y GKE en Azure
Actualización del 14/2/2024: Se agregaron versiones de parches
para GKE en VMware
Actualización del 9/11/2023: Se agregó CVE-2023-39325. Versiones de GKE actualizadas
con los parches más recientes para CVE-2023-44487 y CVE-2023-39325.
GKE
Última actualización: 09-11-2023
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). Los clústeres de GKE con redes autorizadas configuradas se protegen limitando el acceso a la red, pero todos los demás clústeres se ven afectados. ¿Qué debo hacer?Actualización del 9/11/2023: Lanzamos nuevas versiones de de GKE que incluyen los parches de seguridad de Go y Kubernetes, que los clústeres ahora mismo. En las próximas semanas, lanzaremos más cambios en el plano de control de GKE para mitigar aún más este problema. Las siguientes versiones de GKE se actualizaron con parches para CVE-2023-44487 y CVE-2023-39325:
Te recomendamos aplicar la siguiente mitigación lo antes posible y actualizar a la versión de parche más reciente cuando esté disponible. Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, crearemos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y haremos una actualización de parche de GKE. Cuando la versión de GKE esté disponible, actualizaremos este boletín con orientación sobre qué versión actualizar tu plano de control y también haremos que los parches sean visibles en la postura de seguridad de GKE cuando estén disponibles para tu clúster. Si quieres recibir una notificación de Pub/Sub cuando haya un parche disponible para tu canal, habilita las notificaciones del clúster. Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. Mitigación mediante la configuración de redes autorizadas para el acceso al plano de control: Puedes agregar redes autorizadas para los clústeres existentes. Si deseas obtener más información, consulta Red autorizada para clústeres existentes. Además de las redes autorizadas que agregues, existen direcciones IP predeterminadas que pueden acceder al plano de control de GKE. Para obtener más información sobre estas direcciones, consulta Acceso a los extremos del plano de control. En los siguientes elementos, se resume el aislamiento del clúster:
¿Qué vulnerabilidades trata este parche?La vulnerabilidad CVE-2023-44487 permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de GKE. |
Alta |
GKE en VMware
Última actualización: 14-02-2024
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Kubernetes. GKE en VMware crea clústeres de Kubernetes a los que no se puede acceder directamente a Internet de forma predeterminada y que están protegidos de esta vulnerabilidad. ¿Qué debo hacer?Actualización del 14/2/2024: Las siguientes versiones de GKE en VMware se actualicen con código para solucionar esta vulnerabilidad. Actualiza tus clústeres a lo siguiente parche o posteriores:
Si configuraste tus clústeres de Kubernetes de GKE alojados en VMware para tener acceso directo a Internet o a otras redes que no sean de confianza, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso. Te recomendamos que actualices a la versión más reciente del parche, cuando esté disponible, lo antes posible. Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, crearemos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y haremos una actualización de parche de GKE. Cuando la versión de GKE esté disponible, actualizaremos este boletín con orientación sobre a qué versión actualizar tu plano de control. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad, CVE-2023-44487, permite a un atacante ejecutar un ataque de denegación del servicio en los nodos del plano de control de Kubernetes. |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Kubernetes. GKE en AWS crea clústeres privados de Kubernetes a los que no se puede acceder directamente a través de Internet de forma predeterminada, y están protegidos de esta vulnerabilidad. ¿Qué debo hacer?Actualización del 20/03/2024: Las siguientes versiones de GKE on AWS se actualizaron con parches para CVE-2023-44487:
Si configuraste GKE en AWS para que tenga acceso directo a Internet o a otras redes no confiables, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso. Te recomendamos que actualices a la versión más reciente del parche, cuando esté disponible, lo antes posible. Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, crearemos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y haremos una actualización de parche de GKE. Cuando la versión de GKE esté disponible, actualizaremos este boletín con orientación sobre a qué versión actualizar tu plano de control. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad, CVE-2023-44487, permite a un atacante ejecutar un ataque de denegación del servicio en los nodos del plano de control de Kubernetes. |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Kubernetes. GKE en Azure crea clústeres privados de Kubernetes a los que no se puede acceder directamente a través de Internet de forma predeterminada, y están protegidos de esta vulnerabilidad. ¿Qué debo hacer?Actualización del 20/03/2024: Las siguientes versiones de GKE en Azure se actualizaron con parches para CVE-2023-44487:
Si configuraste tus clústeres de GKE en Azure para tener acceso directo a Internet o a otras redes que no son de confianza, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso. Te recomendamos que actualices a la versión más reciente del parche, cuando esté disponible, lo antes posible. Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, crearemos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y haremos una actualización de parche de GKE. Cuando la versión de GKE esté disponible, actualizaremos este boletín con orientación sobre a qué versión actualizar tu plano de control.¿Qué vulnerabilidades trata este parche?La vulnerabilidad, CVE-2023-44487, permite a un atacante ejecutar un ataque de denegación del servicio en los nodos del plano de control de Kubernetes. |
Alta |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Kubernetes. Anthos en Bare Metal crea clústeres de Kubernetes a los que no se puede acceder directamente a Internet de forma predeterminada y que están protegidos de esta vulnerabilidad. ¿Qué debo hacer?Si configuraste los clústeres de Kubernetes de Anthos en Bare Metal para tener acceso directo a Internet o a otras redes que no sean de confianza, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso. Para obtener más información, consulta la descripción general de la seguridad de GKE en Bare Metal. Te recomendamos que actualices a la versión más reciente del parche, cuando esté disponible, lo antes posible. Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, crearemos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y haremos una actualización de parche de GKE. Cuando la versión de GKE esté disponible, actualizaremos este boletín con orientación sobre a qué versión actualizar tu plano de control. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad, CVE-2023-44487, permite a un atacante ejecutar un ataque de denegación del servicio en los nodos del plano de control de Kubernetes. |
Alta |
GCP-2023-026
Publicación: 06-09-2023
Referencia: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
Descripción | Gravedad |
---|---|
Se descubrieron tres vulnerabilidades en Kubernetes (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes. Los clústeres de GKE solo se ven afectados si incluyen nodos de Windows. ¿Qué debo hacer?Para corregir este problema, se actualizaron con código las siguientes versiones de GKE en la nube. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:
El plano de control de GKE se actualizará la semana del 4/9/2023 para actualizar el
y csi-proxy a la versión 1.1.3. Si actualizas tus nodos antes de la actualización del plano de control,
deberás actualizar tus nodos nuevamente después de la actualización para aprovechar la nueva
proxy. Puedes actualizar los nodos nuevamente, incluso sin cambiar la versión del nodo, ejecutando
el comando Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades trata este parche?Con CVE-2023-3676, un agente malicioso podría crear una especificación de Pod con cadenas de ruta de host que contienen comandos de PowerShell. Kubelet carece de limpieza de entradas y pasa este elemento que se creó de ruta de acceso al ejecutor de comandos como un argumento donde ejecutaría partes de la como comandos separados. Estos comandos se ejecutarían con la misma configuración que tiene Kubelet. Con CVE-2023-3955, Kubelet otorga a los usuarios que pueden crear Pods la capacidad de ejecutar código. con el mismo nivel de permiso que el agente de Kubelet, permisos privilegiados. Con CVE-2023-3893, una falta similar de limpieza de entradas permite que un usuario pueda crear Pods en Nodos de Windows que ejecutan kubernetes-csi-proxy para derivar el caso a los privilegios de administrador en esos nodos. Los registros de auditoría de Kubernetes se pueden usar para detectar si esta vulnerabilidad se está explotando. Grupo de anuncios crear eventos con comandos de PowerShell incorporados son un fuerte indicador de explotación. ConfigMaps y Secrets que contienen comandos de PowerShell incorporados y están activados en Los Pods también son un indicador claro de explotación. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrieron tres vulnerabilidades en Kubernetes (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes. Los clústeres solo se ven afectados si incluyen nodos de Windows. ¿Qué debo hacer?¿Qué vulnerabilidades trata este parche?Con CVE-2023-3676, un agente malicioso podría crear una especificación de Pod con cadenas de ruta de host que contienen comandos de PowerShell. Kubelet carece de limpieza de entradas y pasa este elemento que se creó de ruta de acceso al ejecutor de comandos como un argumento donde ejecutaría partes de la como comandos separados. Estos comandos se ejecutarían con la misma configuración que tiene Kubelet. Con CVE-2023-3955, Kubelet otorga a los usuarios que pueden crear Pods la capacidad de ejecutar código. con el mismo nivel de permiso que el agente de Kubelet, permisos privilegiados. Con CVE-2023-3893, una falta similar de limpieza de entradas permite que un usuario pueda crear Pods en Nodos de Windows que ejecutan kubernetes-csi-proxy para derivar el caso a los privilegios de administrador en esos nodos. Los registros de auditoría de Kubernetes se pueden usar para detectar si esta vulnerabilidad se está explotando. Grupo de anuncios crear eventos con comandos de PowerShell incorporados son un fuerte indicador de explotación. Los ConfigMaps y los secretos que contienen comandos de PowerShell incorporados y que se activan en Pods también son un gran indicador de explotación. |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrieron tres vulnerabilidades en Kubernetes (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes. ¿Qué debo hacer?GKE on AWS no se ve afectado por estas CVE. No es necesario que realices ninguna acción. |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrieron tres vulnerabilidades en Kubernetes (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes. ¿Qué debo hacer?GKE en Azure no se ve afectado por estas CVE. No es necesario que realices ninguna acción. |
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrieron tres vulnerabilidades en Kubernetes (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) en Kubernetes, en las que un usuario que puede crear Pods en nodos de Windows puede escalar a privilegios de administrador en esos nodos. Estas vulnerabilidades afectan las versiones de Windows de Kubelet y el proxy de CSI de Kubernetes. ¿Qué debo hacer?GKE en Bare Metal no se ve afectado por estas CVE. No es necesario que realices ninguna acción. |
Ninguna |
GCP-2023-018
Publicación: 27-06-2023
Referencia: CVE-2023-2235
GKE
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede llevar a una elevación de privilegios en el nodo. Los clústeres de Autopilot de GKE se ven afectados porque los nodos de Autopilot de GKE siempre usan imágenes de nodo de Container-Optimized OS. Los clústeres de GKE Standard con versiones 1.25 o posteriores que ejecutan imágenes de nodo de Container-Optimized OS se ven afectados. Los clústeres de GKE no se ven afectados si solo ejecutan imágenes de nodo de Ubuntu, ejecutan versiones anteriores a la 1.25 o usan GKE Sandbox. ¿Qué debo hacer?Para corregir esta vulnerabilidad, se actualizaron con código las siguientes versiones de GKE. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades se abordan?Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede llevar a una elevación de privilegios en el nodo. Los clústeres de GKE alojados en VMware se ven afectados. ¿Qué debo hacer?¿Qué vulnerabilidades se abordan?Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación. |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede llevar a una elevación de privilegios en el nodo. Los clústeres de GKE en AWS se ven afectados. ¿Qué debo hacer?¿Qué vulnerabilidades trata este parche?Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación. |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede llevar a una elevación de privilegios en el nodo. Se ven afectados los clústeres de GKE en Azure. ¿Qué debo hacer?¿Qué vulnerabilidades trata este parche?Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación. |
Alta |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede llevar a una elevación de privilegios en el nodo. Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta CVE. ¿Qué debo hacer?No es necesario que realices ninguna acción. |
Ninguna |
GCP-2023-017
Publicado: 26-06-2023
Actualizado: 11-07-2023
Referencia: CVE-2023-31436
Actualización del 11/07/2023: Se actualizaron las versiones nuevas de GKE para incluir las versiones más recientes de Ubuntu con el parche CVE-2023-31436.
GKE
Última actualización: 11-07-2023
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede llevar a una elevación de privilegios en el nodo. Los clústeres de GKE, incluidos los de Autopilot, se ven afectados. Los clústeres de GKE que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 11/07/2023: Hay versiones de parches de Ubuntu disponibles. Se actualizaron las siguientes versiones de GKE para incluir la versión más reciente de Ubuntu versiones que parchean CVE-2023-31436:
Para corregir esta vulnerabilidad, se actualizaron con código las siguientes versiones de GKE. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades se abordan?Con CVE-2023-31436, se encontró una falla de acceso a la memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la manera en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red utilizado como lmax. Esta falla permite que un usuario local falle o potencialmente derive sus privilegios en el sistema. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede llevar a una elevación de privilegios en el nodo. Los clústeres de GKE alojados en VMware se ven afectados. ¿Qué debo hacer?¿Qué vulnerabilidades se abordan?Con CVE-2023-31436, se encontró una falla de acceso a la memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la manera en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red utilizado como lmax. Esta falla permite que un usuario local falle o potencialmente derive sus privilegios en el sistema. |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede llevar a una elevación de privilegios en el nodo. Los clústeres de GKE en AWS se ven afectados. ¿Qué debo hacer?¿Qué vulnerabilidades trata este parche?Con CVE-2023-31436, se encontró una falla de acceso a la memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la manera en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red utilizado como lmax. Esta falla permite que un usuario local falle o potencialmente derive sus privilegios en el sistema. |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede llevar a una elevación de privilegios en el nodo. Se ven afectados los clústeres de GKE en Azure. ¿Qué debo hacer?¿Qué vulnerabilidades trata este parche?Con CVE-2023-31436, se encontró una falla de acceso a la memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la manera en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red utilizado como lmax. Esta falla permite que un usuario local falle o potencialmente derive sus privilegios en el sistema. |
Alta |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede llevar a una elevación de privilegios en el nodo. Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta CVE. ¿Qué debo hacer?No es necesario que realices ninguna acción. |
Ninguna |
GCP-2023-016
Fecha de publicación: 26/06/2023
Referencia:
CVE-2023-27496
CVE-2023-27488
CVE-2023-27493
CVE-2023-27492
CVE-2023-27491
CVE-2023-27487
GKE
Descripción | Gravedad |
---|---|
Se descubrieron varias vulnerabilidades en Envoy, que se utiliza en la malla de servicios en la nube. (ASM). Estos se informaron por separado como GCP-2023-002. GKE no se envía con ASM y no se ve afectado por estas vulnerabilidades. ¿Qué debo hacer?Si instalaste ASM por separado para tus clústeres de GKE, consulta GCP-2023-002. |
Ninguna |
GKE en VMware
Descripción | Gravedad |
---|---|
Varias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 y CVE-2023-27487), se descubrieron en Envoy, en la malla de servicios de Cloud en GKE alojado en VMware, lo que permite que un atacante malicioso provocará una denegación del servicio o provocará una falla en Envoy. Estos se informaron por separado como GCP-2023-002, pero queremos asegurarnos de que Los clientes de GKE Enterprise actualizan las versiones que incluyen ASM. ¿Qué debo hacer?Para corregir este problema, se actualizaron con código las siguientes versiones de GKE en VMware. en la nube. Te recomendamos que actualices los clústeres de administrador y de usuario a uno de los siguientes versiones de GKE alojadas en VMware:
¿Qué vulnerabilidades trata este parche?CVE-2023-27496: Si Envoy se ejecuta con el filtro OAuth habilitado expuesto, un archivo puede crear una solicitud que provocaría una denegación del servicio si hace que falle Envoy. CVE-2023-27488: los atacantes pueden utilizar esta vulnerabilidad para evitar las verificaciones de autenticación cuando ext_authz. CVE-2023-27493: la configuración de Envoy también debe incluir una opción para agregar encabezados de solicitud. generados con entradas de la solicitud, como el SAN de certificado de intercambio de tráfico. CVE-2023-27492: los atacantes pueden enviar cuerpos de solicitud grandes para rutas que tienen un filtro Lua habilitar y activar fallas. CVE-2023-27491: los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 creadas específicamente a y activa análisis de errores en el servicio upstream HTTP/1.
CVE-2023-27487: El encabezado |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Varias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 y CVE-2023-27487), se descubrieron en Envoy, se usa en Cloud Service Mesh. Estos se informaron por separado como GCP-2023-002. GKE en AWS no se envía con ASM y no se ve afectado. ¿Qué debo hacer?No es necesario que realices ninguna acción. |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Varias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 y CVE-2023-27487), se descubrieron en Envoy, se usa en Cloud Service Mesh. Estos se informaron por separado como GCP-2023-002. GKE en Azure no se envía con ASM y no se ve afectado. ¿Qué debo hacer?No es necesario que realices ninguna acción. |
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Varias vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491 y CVE-2023-27487), se descubrieron en Envoy, se usa en la malla de servicios de Cloud en GKE en Bare Metal, lo que permite que las cargas causar una denegación del servicio o provocar una falla en Envoy. Estos se informaron por separado como GCP-2023-002, pero queremos asegurarnos de que Los clientes de GKE Enterprise actualizan las versiones que incluyen ASM. ¿Qué debo hacer?Las siguientes versiones de Anthos en Bare Metal se actualizaron con un código para corregir esta vulnerabilidad. Te recomendamos que actualices los clústeres de administrador y de usuario a una de las siguientes versiones de GKE en Bare Metal:
¿Qué vulnerabilidades trata este parche?CVE-2023-27496: Si Envoy se ejecuta con el filtro OAuth habilitado expuesto, un archivo puede crear una solicitud que provocaría una denegación del servicio si hace que falle Envoy. CVE-2023-27488: los atacantes pueden utilizar esta vulnerabilidad para evitar las verificaciones de autenticación cuando ext_authz. CVE-2023-27493: la configuración de Envoy también debe incluir una opción para agregar encabezados de solicitud. generados con entradas de la solicitud, como el SAN de certificado de intercambio de tráfico. CVE-2023-27492: los atacantes pueden enviar cuerpos de solicitud grandes para rutas que tienen un filtro Lua habilitar y activar fallas. CVE-2023-27491: los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 creadas específicamente a y activa análisis de errores en el servicio upstream HTTP/1.
CVE-2023-27487: El encabezado |
Alta |
GCP-2023-015
Publicación: 20-06-2023
Referencia: CVE-2023-0468
GKE
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo. Los clústeres de GKE, incluidos los de Autopilot, se ven afectados. Los clústeres de GKE que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Para corregir esta vulnerabilidad, se actualizaron con código las siguientes versiones de GKE. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades se abordan?En CVE-2023-0468, se encontró una falla de uso después de la liberación en io_uring/poll.c, en io_poll_check_events, en el subcomponente io_uring del kernel de Linux. Esta falla puede provocar una eliminación de referencia de puntero NULL y una posible falla del sistema que provoque la denegación del servicio. |
Media |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo. GKE en VMware usa la versión 5.4 del kernel de Linux y no se ve afectado por esta CVE. ¿Qué debo hacer?
|
Ninguna |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo. GKE on AWS no se ve afectado por esta CVE. ¿Qué debo hacer?
|
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo. GKE en Azure no se ve afectado por esta CVE. ¿Qué debo hacer?
|
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo. Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta CVE. ¿Qué debo hacer?
|
Ninguna |
GCP-2023-014
Publicado: 15-06-2023
Actualizado: 11-08-2023
Referencia: CVE-2023-2727, CVE-2023-2728
Actualización del 11/08/2023: Se agregaron versiones de parche para GKE en VMware, GKE en AWS, GKE en Azure y GKE en Bare Metal.
GKE
Descripción | Gravedad |
---|---|
Se descubrieron dos problemas de seguridad nuevos en Kubernetes, en los que los usuarios podrían iniciar contenedores que eludan las restricciones de políticas cuando usan contenedores efímeros, y ya sea ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión ServiceAccount (CVE-2023-2728). GKE no usa ImagePolicyWebhook y no se ve afectado por CVE-2023-2727. Todas las versiones de GKE son potencialmente vulnerables a CVE-2023-2728.¿Qué debo hacer?Para corregir esta vulnerabilidad, se actualizaron con código las siguientes versiones de GKE. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades se abordan?Con CVE-2023-2727, los usuarios pueden iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si el complemento de admisión ImagePolicyWebhook se usa junto con contenedores efímeros. Esta CVE también se puede mitigar mediante webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones. En la CVE-2023-2728, los usuarios pueden iniciar contenedores que eludan la política de secretos activables que aplica el complemento de admisión ServiceAccount cuando usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Los clústeres se ven afectados por esta vulnerabilidad en los siguientes casos:
|
Media |
GKE en VMware
Última actualización: 11-08-2023
Descripción | Gravedad |
---|---|
Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728) Anthos en VMware no usa ImagePolicyWebhook y no se ve afectado por CVE-2023-2727. Todas las versiones de Anthos en VMware son potencialmente vulnerables a la CVE-2023-2728. ¿Qué debo hacer?Actualización del 11/08/2023: Se actualizaron con código las siguientes versiones de GKE en VMware para corregir esta vulnerabilidad. Actualiza los clústeres de administrador y de usuario a una de las siguientes versiones de GKE alojadas en VMware:
¿Qué vulnerabilidades se abordan?Con CVE-2023-2727, los usuarios pueden iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si el complemento de admisión ImagePolicyWebhook se usa junto con contenedores efímeros. Esta CVE también se puede mitigar mediante webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones. En la CVE-2023-2728, los usuarios pueden iniciar contenedores que eludan la política de secretos activables que aplica el complemento de admisión ServiceAccount cuando usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Los clústeres se ven afectados por esta vulnerabilidad en los siguientes casos:
|
Media |
GKE en AWS
Última actualización: 11-08-2023
Descripción | Gravedad |
---|---|
Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728) ¿Qué debo hacer?Actualización del 11/08/2023: La siguiente versión de GKE en AWS se actualizó con código para corregir esta vulnerabilidad. Actualiza tus nodos a la siguiente versión de GKE en AWS:
¿Qué vulnerabilidades se abordan?Con CVE-2023-2727, los usuarios pueden iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si el complemento de admisión ImagePolicyWebhook se usa junto con contenedores efímeros. Esta CVE también se puede mitigar mediante webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones. En la CVE-2023-2728, los usuarios pueden iniciar contenedores que eludan la política de secretos activables que aplica el complemento de admisión ServiceAccount cuando usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Los clústeres se ven afectados por esta vulnerabilidad en los siguientes casos:
|
Media |
GKE en Azure
Última actualización: 11-08-2023
Descripción | Gravedad |
---|---|
Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728) ¿Qué debo hacer?Actualización del 11/08/2023: La siguiente versión de GKE en Azure se actualizó con código para corregir esta vulnerabilidad. Actualiza tus nodos a la siguiente versión de GKE en Azure:
¿Qué vulnerabilidades se abordan?Con CVE-2023-2727, los usuarios pueden iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si el complemento de admisión ImagePolicyWebhook se usa junto con contenedores efímeros. Esta CVE también se puede mitigar mediante webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones. En la CVE-2023-2728, los usuarios pueden iniciar contenedores que eludan la política de secretos activables que aplica el complemento de admisión ServiceAccount cuando usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Los clústeres se ven afectados por esta vulnerabilidad en los siguientes casos:
|
Media |
GKE en Bare Metal
Última actualización: 11-08-2023
Descripción | Gravedad |
---|---|
Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728) ¿Qué debo hacer?Actualización del 11/08/2023: Se actualizaron las siguientes versiones de Google Distributed Cloud Virtual para Bare Metal con código para corregir esta vulnerabilidad. Actualiza tus nodos a una de las siguientes versiones de Google Distributed Cloud Virtual para Bare Metal:
¿Qué vulnerabilidades se abordan?Con CVE-2023-2727, los usuarios pueden iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si el complemento de admisión ImagePolicyWebhook se usa junto con contenedores efímeros. Esta CVE también se puede mitigar mediante webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones. En la CVE-2023-2728, los usuarios pueden iniciar contenedores que eludan la política de secretos activables que aplica el complemento de admisión ServiceAccount cuando usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Los clústeres se ven afectados por esta vulnerabilidad en los siguientes casos:
|
Media |
GCP-2023-009
Publicado: 06-06-2023
Referencia: CVE-2023-2878
GKE
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en el controlador secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Luego, estos tokens podrían intercambiarse con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. GKE no se ve afectado por esta CVE. ¿Qué debo hacer?Aunque GKE no se ve afectado, si instalaste el componente secret-store-csi-driver, debes actualizar la instalación con una versión de parche. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad, CVE-2023-2878, se descubrió en secret-store-csi-driver, donde un atacante con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Luego, estos tokens podrían intercambiarse con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. Los tokens solo se registran cuando TokenRequests se configura en el objeto CSIDriver y el controlador está configurado para ejecutarse en un nivel de registro 2 o superior mediante la marca -v. |
Ninguna |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en el controlador secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Luego, estos tokens podrían intercambiarse con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. GKE en VMware no se ve afectado por esta CVE. ¿Qué debo hacer?Si bien GKE en VMware no se ve afectado, si instalaste el componente secret-store-csi-driver, debes actualizar la instalación con una versión de parche. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad, CVE-2023-2878, se descubrió en secret-store-csi-driver, donde un atacante con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Luego, estos tokens podrían intercambiarse con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. Los tokens solo se registran cuando TokenRequests se configura en el objeto CSIDriver y el controlador está configurado para ejecutarse en un nivel de registro 2 o superior mediante la marca -v. |
Ninguna |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en el controlador secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Luego, estos tokens podrían intercambiarse con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. GKE on AWS no se ve afectado por esta CVE. ¿Qué debo hacer?Si bien GKE en AWS no se ve afectado, si instalaste el componente secrets-store-csi-driver, debes actualizar la instalación con una versión con parche. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad, CVE-2023-2878, se descubrió en secret-store-csi-driver, donde un atacante con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Luego, estos tokens podrían intercambiarse con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. Los tokens solo se registran cuando TokenRequests se configura en el objeto CSIDriver y el controlador está configurado para ejecutarse en un nivel de registro 2 o superior mediante la marca -v. |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en el controlador secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador podía observar los tokens de cuenta de servicio. Luego, estos tokens podrían intercambiarse con proveedores de servicios en la nube externos para acceder a Secrets almacenados en soluciones de Cloud Vault. GKE en Azure no se ve afectado por esta CVE ¿Qué debo hacer?Si bien GKE en Azure no se ve afectado, si instalaste el componente secrets-store-csi-driver, deberías actualizar la instalación con una versión con parche. ¿Qué vulnerabilidades trata este parche?La vulnerabilidad, CVE-2023-2878, se descubrió en secret-store-csi-driver, donde un atacante con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Luego, estos tokens podrían intercambiarse con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. Los tokens solo se registran cuando TokenRequests se configura en el objeto CSIDriver y el controlador está configurado para ejecutarse en un nivel de registro 2 o superior mediante la marca -v. |
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en el controlador secret-store-csi-driver, en la que un atacante con acceso a los registros del controlador podía observar los tokens de cuenta de servicio. Luego, estos tokens podrían intercambiarse con proveedores de servicios en la nube externos para acceder a Secrets almacenados en soluciones de Cloud Vault. GKE en Bare Metal no se ve afectado por esta CVE. ¿Qué debo hacer?Aunque GKE en Bare Metal no se ve afectado, si instalaste el componente secret-store-csi-driver, debes actualizar la instalación con una versión de parche ¿Qué vulnerabilidades trata este parche?La vulnerabilidad, CVE-2023-2878, se descubrió en secret-store-csi-driver, donde un atacante con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Luego, estos tokens podrían intercambiarse con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de Cloud Vault. Los tokens solo se registran cuando TokenRequests se configura en el objeto CSIDriver y el controlador está configurado para ejecutarse en un nivel de registro 2 o superior mediante la marca -v. |
Ninguna |
GCP-2023-008
Publicado: 05-06-2023
Referencia: CVE-2023-1872
GKE
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede llevar a una elevación de privilegios para establecer la raíz en el nodo. Los clústeres de GKE Standard y Autopilot se ven afectados. Los clústeres que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Para corregir esta vulnerabilidad, se actualizaron con código las siguientes versiones de GKE. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades trata este parche?CVE-2023-1872 es una vulnerabilidad de uso después de la liberación en el subsistema io_uring del kernel de Linux que puede explotarse para lograr la elevación de privilegios local. La función |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede llevar a una elevación de privilegios para establecer la raíz en el nodo. ¿Qué debo hacer?¿Qué vulnerabilidades trata este parche?CVE-2023-1872 es una vulnerabilidad de uso después de la liberación en el subsistema io_uring del kernel de Linux que puede explotarse para lograr la elevación de privilegios local. La función |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede llevar a una elevación de privilegios para establecer la raíz en el nodo. ¿Qué debo hacer?Las siguientes versiones de GKE en AWS se actualizaron con un código que corrige estas vulnerabilidades: ¿Qué vulnerabilidades trata este parche?CVE-2023-1872 es una vulnerabilidad de uso después de la liberación en el subsistema io_uring del kernel de Linux que puede explotarse para lograr la elevación de privilegios local. La función |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede llevar a una elevación de privilegios para establecer la raíz en el nodo. ¿Qué debo hacer?Las siguientes versiones de GKE en Azure se actualizaron con un código que corrige estas vulnerabilidades: ¿Qué vulnerabilidades trata este parche?CVE-2023-1872 es una vulnerabilidad de uso después de la liberación en el subsistema io_uring del kernel de Linux que puede explotarse para lograr la elevación de privilegios local. La función |
Alta |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede llevar a una elevación de privilegios para establecer la raíz en el nodo. GKE en Bare Metal no se ve afectado por esta CVE. ¿Qué debo hacer?No se requiere ninguna acción. |
Ninguna |
GCP-2023-005
Publicado: 18-05-2023
Actualizado: 06-06-2023
Referencia: CVE-2023-1281, CVE-2023-1829
Actualización del 6/6/2023: Se actualizaron las nuevas versiones de GKE para incluir las versiones más recientes de Ubuntu que tienen el parche CVE-2023-1281 y CVE-2023-1829.
GKE
Última actualización: 06-06-2023
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux que pueden llevar a una elevación de privilegios para establecer la raíz en el nodo. Los clústeres de GKE Standard se ven afectados. clústeres de GKE Autopilot y GKE Sandbox no se ve afectado. ¿Qué debo hacer?Actualización del 6/6/2023: Hay versiones de parches de Ubuntu disponibles. Se actualizaron las siguientes versiones de GKE para incluir las últimas versiones de Ubuntu que parchean CVE-2023-1281 y CVE-2023-1829:
Para corregir esta vulnerabilidad, se actualizaron con código las siguientes versiones de GKE. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades trata este parche?Tanto CVE-2023-1281 como CVE-2023-1829 son vulnerabilidades de uso después de la liberación en el filtro del índice de control de tráfico del kernel de Linux (tcindex) que pueden explotarse para lograr la elevación de privilegios local. Con CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que puede llevar a la doble liberación de una estructura de datos. En CVE-2023-1281, el área hash imperfecta se puede actualizar mientras se recorren los paquetes, lo que provocará un uso después de la liberación cuando se llame a |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux que pueden llevar a una elevación de privilegios para establecer la raíz en el nodo. ¿Qué debo hacer?¿Qué vulnerabilidades trata este parche?Tanto CVE-2023-1281 como CVE-2023-1829 son vulnerabilidades de uso después de la liberación en el filtro del índice de control de tráfico del kernel de Linux (tcindex) que se pueden explotar para lograr la elevación de privilegios local. Con CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que puede llevar a la doble liberación de una estructura de datos. En CVE-2023-1281, el área hash imperfecta se puede actualizar mientras se recorren los paquetes, lo que provocará un uso después de la liberación cuando se llame a |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux que pueden llevar a una elevación de privilegios para establecer la raíz en el nodo. ¿Qué debo hacer?¿Qué vulnerabilidades trata este parche?Tanto CVE-2023-1281 como CVE-2023-1829 son vulnerabilidades de uso después de la liberación en el filtro del índice de control de tráfico del kernel de Linux (tcindex) que se pueden explotar para lograr la elevación de privilegios local. Con CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que puede llevar a la doble liberación de una estructura de datos. En CVE-2023-1281, el área hash imperfecta se puede actualizar mientras se recorren los paquetes, lo que provocará un uso después de la liberación cuando se llame a |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux que pueden llevar a una elevación de privilegios para establecer la raíz en el nodo. ¿Qué debo hacer?¿Qué vulnerabilidades trata este parche?Tanto CVE-2023-1281 como CVE-2023-1829 son vulnerabilidades de uso después de la liberación en el filtro del índice de control de tráfico del kernel de Linux (tcindex) que se pueden explotar para lograr la elevación de privilegios local. Con CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que puede llevar a la doble liberación de una estructura de datos. En CVE-2023-1281, el área hash imperfecta se puede actualizar mientras se recorren los paquetes, lo que provocará un uso después de la liberación cuando se llame a |
Alta |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux, que pueden llevar a una elevación de privilegios para establecer la raíz en el nodo. GKE en Bare Metal no se ve afectado por esta CVE. ¿Qué debo hacer?No se requiere ninguna acción. |
Ninguna |
GCP-2023-003
Publicado: 11-04-2023
Actualizado: 21-12-2023
Referencia: CVE-2023-0240,
CVE-2023-23586
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
GKE
Última actualización: 21-12-2023
Descripción | Gravedad |
---|---|
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
los clústeres en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586, en el Kernel de Linux que podría permitir que un usuario sin privilegios escale privilegios. clústeres de GKE, incluidos los de Autopilot, con COS mediante Se ven afectadas las versiones del kernel de Linux hasta 5.10.162 desde 5.10 hasta 5.10.162. clústeres de GKE con Las imágenes de Ubuntu o el uso de GKE Sandbox no se ven afectados. ¿Qué debo hacer?Las siguientes versiones de GKE se actualizaron con código para corregir estas fallas vulnerabilidades. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades trata este parche?Vulnerabilidad 1 (CVE-2023-0240): Una condición de carrera en Vulnerabilidad 2 (CVE-2023-23586): Se puede aplicar un uso posterior de forma gratuita (UAF) en |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586, en el Kernel de Linux que podría permitir que un usuario sin privilegios escale privilegios. Clústeres de GKE alojados en VMware con COS que usan la versión 5.10 del kernel de Linux hasta la versión 5.10.162. se ven afectadas. Los clústeres de GKE Enterprise que usan imágenes de Ubuntu no se ven afectados. ¿Qué debo hacer?Se actualizaron las siguientes versiones de GKE en VMware con código para corregirlas. estas vulnerabilidades:
¿Qué vulnerabilidades trata este parche?Vulnerabilidad 1 (CVE-2023-0240): Una condición de carrera en Vulnerabilidad 2 (CVE-2023-23586): Un uso después de la liberación (UAF) en |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586, en el Kernel de Linux que podría permitir que un usuario sin privilegios escale privilegios. GKE on AWS no se ve afectado por estas CVE. ¿Qué debo hacer?No se requiere ninguna acción. |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586, en el Kernel de Linux que podría permitir que un usuario sin privilegios escale privilegios. GKE en Azure no se ve afectado por estas CVE ¿Qué debo hacer?No se requiere ninguna acción. |
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586, en el Kernel de Linux que podría permitir que un usuario sin privilegios escale privilegios. GKE en Bare Metal no se ve afectado por estas CVE. ¿Qué debo hacer?No se requiere ninguna acción. |
Ninguna |
GCP-2023-001
Publicado: 01-03-2023
Updated: 21-12-2023
Reference: CVE-2022-4696
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
GKE
Descripción | Gravedad |
---|---|
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar a una elevación de privilegios en el nodo. clústeres de GKE, como Autopilot se ven afectados. clústeres de GKE con GKE Sandbox no se ve afectado. ¿Qué debo hacer?Para corregir este problema, se actualizaron con código las siguientes versiones de GKE en la nube. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres o grupos de nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-4696, se encontró una falla de uso después de la liberación en io_uring y ioring_op_splice en el kernel de Linux. Esta falla permite que un usuario local cree una elevación de privilegios local. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar a una elevación de privilegios en el nodo. GKE alojado en VMware ejecuta v1.12 y Afecta a la versión 1.13. Las instancias de GKE alojadas en VMware que ejecutan la versión 1.14 o posterior no se ven afectadas. ¿Qué debo hacer?Para corregir este problema, se actualizaron con código las siguientes versiones de GKE en VMware en la nube. Te recomendamos que actualices los clústeres de administrador y de usuario a uno de los siguientes versiones de GKE alojadas en VMware:
¿Qué vulnerabilidades trata este parche?Con CVE-2022-4696, se encontró una falla de uso después de la liberación en io_uring y ioring_op_splice en el kernel de Linux. Esta falla permite que un usuario local cree una elevación de privilegios local. |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar a una elevación de privilegios en el nodo. GKE en AWS no se ve afectado por esta vulnerabilidad. ¿Qué debo hacer?No es necesario que realices ninguna acción. |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar a una elevación de privilegios en el nodo. GKE en Azure no se ve afectado por esta vulnerabilidad. ¿Qué debo hacer?No es necesario que realices ninguna acción. |
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2022-4696) en el kernel de Linux que puede provocar a una elevación de privilegios en el nodo. Esta vulnerabilidad no afecta a GKE en Bare Metal. ¿Qué debo hacer?No es necesario que realices ninguna acción. |
Ninguna |
GCP-2022-026
Publicado: 11-01-2023
Referencia: CVE-2022-3786, CVE-2022-3602
GKE
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL versión 3.0.6 que podría causar fallas. Aunque esta tiene una calificación alta en el NVD extremos de GKE usan boringSSL o una versión anterior de OpenSSL que no se ve afectado, por lo que la calificación se redujo a un medio para GKE. ¿Qué debo hacer?Para corregir este problema, se actualizaron con código las siguientes versiones de GKE vulnerabilidad:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-3786 y CVE-2022-3602, se puede activar un exceso de búfer en el certificado X.509 que puede causar fallas que generen denegación del servicio. Ser esta vulnerabilidad requiere que una AC firme un certificado malicioso o que una aplicación continúe con la verificación del certificado a pesar de no construir un a una entidad emisora de confianza. |
Media |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL v3.0.6 podría causar fallas. ¿Qué debo hacer?GKE en VMware no se ve afectado por esta CVE, ya que no usa una versión afectada de OpenSSL. ¿Qué vulnerabilidades trata este parche?No se requiere ninguna acción. |
Ninguna |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL v3.0.6 podría causar fallas. ¿Qué debo hacer?GKE on AWS no se ve afectado por esta CVE, ya que no usa una versión afectada. de OpenSSL. ¿Qué vulnerabilidades trata este parche?No se requiere ninguna acción. |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL v3.0.6 podría causar fallas. ¿Qué debo hacer?GKE en Azure no se ve afectado por esta CVE, ya que no usa una versión afectada de OpenSSL. ¿Qué vulnerabilidades trata este parche?No se requiere ninguna acción. |
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2022-3786 y CVE-2022-3602) en OpenSSL v3.0.6 podría causar fallas. ¿Qué debo hacer?GKE en Bare Metal no se ve afectado por esta CVE, ya que no usa una versión afectada de OpenSSL. ¿Qué vulnerabilidades trata este parche?No se requiere ninguna acción. |
Ninguna |
GCP-2022-025
Publicado: 21-12-2022
Actualizado: 19-01-2023, 21-12-2023
Referencia: CVE-2022-2602
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
Actualización del 19/01/2023: La versión 1.21.14-gke.14100 de GKE está disponible.
GKE
Última actualización: 19/01/2023
Descripción | Gravedad |
---|---|
Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir Se descubrió una nueva vulnerabilidad (CVE-2022-2602) en el subsistema io_uring del Kernel de Linux que puede permitir que un atacante ejecute código arbitrario Los clústeres de GKE, incluidos los de Autopilot, se ven afectados. Los clústeres de GKE que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 19/01/2023: La versión 1.21.14-gke.14100 está disponible. Actualiza los grupos de nodos a esta versión o a una posterior. Para corregir este problema, se actualizaron con código las siguientes versiones de GKE en una versión futura. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-2602, una condición de carrera entre el procesamiento de solicitudes io_uring y el socket Unix la recolección de elementos no utilizados puede causar una vulnerabilidad de uso después de la liberación. Un atacante local podría usar para activar una denegación del servicio o ejecutar un código arbitrario. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2022-2602) en el subsistema io_uring del Kernel de Linux que puede permitir que un atacante ejecute código arbitrario Se ven afectadas las versiones 1.11, 1.12 y 1.13 de GKE en VMware. ¿Qué debo hacer?Actualiza el clúster a una versión con parche. Las versiones siguientes GKE en VMware contiene código que corrige esta vulnerabilidad:
¿Qué vulnerabilidades trata este parche?Con CVE-2022-2602, una condición de carrera entre el procesamiento de solicitudes io_uring y el socket Unix la recolección de elementos no utilizados puede causar una vulnerabilidad de uso después de la liberación. Un atacante local podría usar para activar una denegación del servicio o ejecutar un código arbitrario. |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2022-2602) en el subsistema io_uring del Kernel de Linux que puede permitir que un atacante ejecute código arbitrario ¿Qué debo hacer?Las siguientes versiones de generación actuales y anteriores de GKE en AWS se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS:
¿Qué vulnerabilidades trata este parche?Con CVE-2022-2602, una condición de carrera entre el procesamiento de solicitudes io_uring y el socket Unix la recolección de elementos no utilizados puede causar una vulnerabilidad de uso después de la liberación. Un atacante local podría usar para activar una denegación del servicio o ejecutar un código arbitrario. |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2022-2602) en el subsistema io_uring del Kernel de Linux que puede permitir que un atacante ejecute código arbitrario ¿Qué debo hacer?Las siguientes versiones de Anthos en Azure se actualizaron con un código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de Anthos en Azure:
¿Qué vulnerabilidades trata este parche?Con CVE-2022-2602, una condición de carrera entre el procesamiento de solicitudes io_uring y el socket Unix la recolección de elementos no utilizados puede causar una vulnerabilidad de uso después de la liberación. Un atacante local podría usar para activar una denegación del servicio o ejecutar un código arbitrario. |
Alta |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2022-2602) en el subsistema io_uring del Kernel de Linux que puede permitir que un atacante ejecute código arbitrario GKE on Bare Metal no se ve afectado por esta CVE, ya que no agrupa un sistema operativo en su distribución. ¿Qué debo hacer?No se requiere ninguna acción. |
Ninguna |
GCP-2022-024
Publicado: 19-11-2022
Actualizado: 19-01-2023
Referencia: CVE-2022-2585, CVE-2022-2588
Actualización del 19/01/2023: La versión 1.21.14-gke.14100 de GKE está disponible.
Actualización del 16-12-2022: Se agregaron versiones de parche revisadas para GKE y
GKE en VMware.
GKE
Última actualización: 19/01/2023
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar una ruptura completa del contenedor para obtener la raíz en el nodo. Los clústeres de GKE, incluidos los de Autopilot, se ven afectados. Los clústeres de GKE que usan GKE Sandbox no se ven afectados. ¿Qué debo hacer?Actualización del 19/01/2023: La versión 1.21.14-gke.14100 está disponible. Actualiza los grupos de nodos a esta versión o a una posterior. Actualización del 16-12-2022: Se revisó una versión anterior del boletín debido a una regresión de lanzamiento. Por favor, actualización manual los grupos de nodos a una de las siguientes versiones de GKE:
Para corregir esta vulnerabilidad, se actualizaron con código las siguientes versiones de GKE. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:
Las actualizaciones para GKE v1.22, 1.23 y 1.25 estarán disponibles pronto. Este boletín de seguridad se actualizará cuando esté disponible. Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades trata este parche?
|
Alta |
GKE en VMware
Última actualización: 16-12-2022
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar una ruptura completa del contenedor para obtener la raíz en el nodo. Se ven afectadas las versiones 1.13, 1.12 y 1.11 de GKE en VMware. ¿Qué debo hacer?Actualización del 16-12-2022: Las siguientes versiones de GKE en VMware se actualizó con código para corregir esta vulnerabilidad. Recomendaciones que actualices los clústeres de administrador y de usuario a uno de los Versiones de GKE alojadas en VMware:
¿Qué vulnerabilidades trata este parche?
|
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar una ruptura completa del contenedor para obtener la raíz en el nodo. Las siguientes versiones de Kubernetes en AWS pueden verse afectadas:
La versión 1.24 de Kubernetes no se ve afectada. ¿Qué debo hacer?Recomendamos que actualices los clústeres a una de las siguientes versiones de Kubernetes de AWS:
¿Qué vulnerabilidades se abordan?Con CVE-2022-2585, la limpieza inadecuada de los temporizadores en el temporizador posix de la CPU permite un exploit de uso después de la liberación en función de cómo se crean y borran los temporizadores. Con CVE-2022-2588, se encontró una falla de uso después de la liberación en route4_change en el kernel de Linux. Esta falla permite que un usuario local provoque una falla en el sistema y, posiblemente, conduzca a una elevación de privilegios local. |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar una ruptura completa del contenedor para obtener la raíz en el nodo. Las siguientes versiones de Kubernetes en Azure pueden verse afectadas:
La versión 1.24 de Kubernetes no se ve afectada. ¿Qué debo hacer?Te recomendamos actualizar los clústeres a una de las siguientes versiones de Azure Kubernetes:
¿Qué vulnerabilidades se abordan?Con CVE-2022-2585, la limpieza inadecuada de los temporizadores en el temporizador posix de la CPU permite un exploit de uso después de la liberación en función de cómo se crean y borran los temporizadores. Con CVE-2022-2588, se encontró una falla de uso después de la liberación en route4_change en el kernel de Linux. Esta falla permite que un usuario local provoque una falla en el sistema y, posiblemente, conduzca a una elevación de privilegios local. |
Alta |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades nuevas (CVE-2022-2585 y CVE-2022-2588) en el kernel de Linux que pueden provocar una ruptura completa del contenedor para obtener la raíz en el nodo. GKE en Bare Meta no se ve afectado por esta CVE, ya que no agrupa un sistema operativo en su distribución. ¿Qué debo hacer?No se requiere ninguna acción. |
Ninguna |
GCP-2022-023
Publicado: 04-11-2022
Referencia: CVE-2022-39278
GKE
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad en Istio, CVE-2022-39278, que se utiliza en Cloud Service Mesh, que permite que un atacante malicioso cause una falla en el plano de control. ¿Qué debo hacer?Google Kubernetes Engine (GKE) no se envía con Istio y no se ve afectado por esta vulnerabilidad. Sin embargo, si instalaste Cloud Service Mesh o Istio por separado en tu clúster de GKE, consulta GCP-2022-020, el boletín de seguridad de la malla de servicios de Cloud sobre esta CVE para obtener más información. |
Ninguno |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad en Istio, CVE-2022-39278, que se utiliza en Cloud Service Mesh en GKE alojados en VMware, que permite que un atacante Plano de control de Istio. ¿Qué debo hacer?Para corregir este problema, se actualizaron con código las siguientes versiones de GKE en VMware. en la nube. Te recomendamos que actualices los clústeres de administrador y de usuario a uno de los siguientes versiones de GKE alojadas en VMware:
¿Qué vulnerabilidades trata este parche?
Con la vulnerabilidad CVE-2022-39278, el plano de control de Istio, |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad en Istio, CVE-2022-39278, que se utiliza en Cloud Service Mesh, que permite que un atacante haga una falla en el plano de control. ¿Qué debo hacer?GKE en AWS no se ve afectado por esta vulnerabilidad y no es necesario que realices ninguna acción. |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad en Istio, CVE-2022-39278, que se utiliza en Cloud Service Mesh, que permite que un atacante haga una falla en el plano de control. ¿Qué debo hacer?GKE en Azure no se ve afectado por esta vulnerabilidad y no es necesario que realices ninguna acción. |
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad en Istio, CVE-2022-39278, que se utiliza en Cloud Service Mesh en GKE en Bare Metal, lo que permite que un atacante falle el plano de control de Istio. ¿Qué debo hacer?Las siguientes versiones de Anthos en Bare Metal se actualizaron con un código para corregir esta vulnerabilidad. Recomendamos que actualices los clústeres a uno de siguientes versiones de GKE en Bare Metal:
¿Qué vulnerabilidades trata este parche?
Con la vulnerabilidad CVE-2022-39278, el plano de control de Istio, |
Alta |
GCP-2022-022-actualizado
Publicado: 18-12-2022
Referencia: CVE-2022-20409
GKE
Última actualización: 14-12-2022
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva en el kernel de Linux, CVE-2022-20409, que puede puedes derivar en la elevación de privilegioss local. Los clústeres de Google Kubernetes Engine (GKE) v1.22, v1.23 y v1.24, incluidos los clústeres de Autopilot, que usan las versiones 93 y 97 de Container-Optimized OS, se ven afectados. Otra compatibilidad Versiones de GKE no se ven afectadas. clústeres de GKE con GKE Sandbox no se verá afectado. ¿Qué debo hacer?Actualización del 14-12-2022: Se revisó una versión anterior del boletín debido a una regresión de lanzamiento. Por favor, actualización manual los grupos de nodos a una de las siguientes versiones de GKE:
Las siguientes versiones de GKE que usan Container-Optimized OS 93 y 97 se actualizaron con código para corregir esta vulnerabilidad en una próxima versión. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:
Una función reciente de canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esta función te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal específico de versiones. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-20409, el kernel de Linux tiene una vulnerabilidad en io_identity_cow del subsistema io_uring. Es posible que se dañe la memoria debido a (UAF). Un atacante local podría usar esta corrupción de memoria para denegar (falla del sistema) o ejecutar código arbitrario. |
Alta |
GKE en VMware
Última actualización: 14-12-2022
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva en el kernel de Linux, CVE-2022-20409, que puede puedes derivar en la elevación de privilegioss local. ¿Qué debo hacer?Actualización del 14-12-2022: Las siguientes versiones de GKE en VMware para Ubuntu se actualizó con código a fin de corregir esta vulnerabilidad. Recomendamos que actualices tus nodos a uno de los siguientes GKE alojados en VMware versions:
¿Qué vulnerabilidades trata este parche?Con CVE-2022-20409, el kernel de Linux tiene una vulnerabilidad en io_identity_cow del subsistema io_uring. Es posible que se dañe la memoria debido a (UAF). Un atacante local podría usar esta corrupción de memoria para denegar (falla del sistema) o ejecutar código arbitrario. |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad en el kernel de Linux, CVE-2022-20409, que podría permitir que un usuario sin privilegios pueda derivar el caso al privilegio de ejecución del sistema. ¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en AWS no usa las versiones afectadas del kernel de Linux. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-20409, el kernel de Linux tiene una vulnerabilidad en io_identity_cow del subsistema io_uring. Es posible que se dañe la memoria debido a (UAF). Un atacante local podría usar esta corrupción de memoria para denegar (falla del sistema) o ejecutar código arbitrario. |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad en el kernel de Linux, CVE-2022-20409, que podría permitir que un usuario sin privilegios pueda derivar el caso al privilegio de ejecución del sistema. ¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Azure no usa las versiones afectadas del kernel de Linux. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-20409, el kernel de Linux tiene una vulnerabilidad en io_identity_cow del subsistema io_uring. Es posible que se dañe la memoria debido a (UAF). Un atacante local podría usar esta corrupción de memoria para denegar (falla del sistema) o ejecutar código arbitrario. |
Ninguna |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva en el kernel de Linux, CVE-2022-20409, que puede puedes derivar en la elevación de privilegioss local. ¿Qué debo hacer?
|
Ninguna |
GCP-2022-021
Publicado: 27-10-2022
Actualizado: 19-01-2023, 21-12-2023
Referencia: CVE-2022-3176
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
Actualización del 19/01/2023: La versión 1.21.14-gke.14100 de GKE está disponible.
Actualización del 15/12/2022: Información actualizada que la versión 1.21.14-gke.9400 de Google Kubernetes Engine está pendiente de lanzamiento y puede sustituirse por un número de versión posterior.
Actualización del 21/11/2022: Se agregaron versiones de parche para GKE en VMware, GKE en AWS y GKE en Azure.
GKE
Última actualización: 19-01-2023, 21-12-2023
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad en el kernel de Linux, CVE-2022-3176, que puede provocar a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre del escape del contenedor completo para obtener permisos de administrador en el nodo. Actualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir Los clústeres de Google Kubernetes Engine (GKE) v1.21, incluidos los clústeres de Autopilot, que usan la versión 89 de Container-Optimized OS, se ven afectados. Versiones posteriores de GKE no se ven afectadas. Todos los clústeres de Linux con Ubuntu se ven afectados. Clústeres de GKE que usan GKE Sandbox no se vean afectados. ¿Qué debo hacer?Actualización del 19/01/2023: La versión 1.21.14-gke.14100 está disponible. Actualiza los grupos de nodos a esta versión o a una posterior. Actualización del 15/12/2022: La versión 1.21.14-gke.9400 tiene un lanzamiento pendiente y es posible que se sustituido por un número de versión más alto. Actualizaremos este documento cuando la nueva versión esté disponible disponibles. Para corregir este problema, se actualizaron con código las siguientes versiones de GKE en una versión futura. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:
Una función reciente de canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esta función te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal específico de versiones. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-3176, el kernel de Linux tiene una vulnerabilidad en el subsistema io_uring. La falta de manejo de POLLFREE puede generar exploits de uso después de la liberación (UAF) que pueden utilizarse para elevación de privilegios. |
Alta |
GKE en VMware
Última actualización: 21-11-2022
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad en el kernel de Linux, CVE-2022-3176, que puede provocar a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre del escape del contenedor completo para obtener permisos de administrador en el nodo. ¿Qué debo hacer?
Actualización del 21-11-2022: Las siguientes versiones de GKE en VMware para Ubuntu se actualizó con código a fin de corregir esta vulnerabilidad. Te recomendamos que actualices los nodos a una de las siguientes versiones de GKE alojadas en VMware:
Se lanzarán versiones de GKE en VMware que contengan parches de Ubuntu pronto. Este boletín de seguridad se actualizará cuando se actualicen las versiones de GKE alojadas en VMware disponibles para descargar. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-3176, el kernel de Linux tiene una vulnerabilidad en el subsistema io_uring. La falta de manejo de POLLFREE puede generar exploits de uso después de la liberación (UAF) que pueden utilizarse para elevación de privilegios. |
Alta |
GKE en AWS
Última actualización: 21-11-2022
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad en el kernel de Linux, CVE-2022-3176, que puede puedes derivar en la elevación de privilegioss local. Esta vulnerabilidad permite que un usuario sin privilegios lograr la sesión completa del contenedor para acceder a la raíz en el nodo. ¿Qué debo hacer?Actualización del 21/11/2022: Las siguientes versiones de generación actuales y anteriores de GKE en AWS se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS: Generación actual
Pronto se lanzarán versiones de GKE en AWS que contienen parches de Ubuntu. Este boletín de seguridad se actualizará cuando las versiones de GKE en AWS estén disponibles para su descarga. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-3176, el kernel de Linux tiene una vulnerabilidad en el subsistema io_uring. La falta de manejo de POLLFREE puede generar exploits de uso después de la liberación (UAF) que pueden utilizarse para elevación de privilegios. |
Alta |
GKE en Azure
Última actualización: 21-11-2022
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad en el kernel de Linux, CVE-2022-3176, que puede puedes derivar en la elevación de privilegioss local. Esta vulnerabilidad permite que un usuario sin privilegios lograr la sesión completa del contenedor para acceder a la raíz en el nodo. ¿Qué debo hacer?Actualización del 21/11/2022: Las siguientes versiones de GKE en Azure se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de Anthos en Azure:
Pronto se lanzarán versiones de GKE en Azure que contienen parches de Ubuntu. Este boletín de seguridad se actualizará cuando las versiones de Anthos en Azure estén disponibles para su descarga. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-3176, el kernel de Linux tiene una vulnerabilidad en el subsistema io_uring. La falta de manejo de POLLFREE puede generar exploits de uso después de la liberación (UAF) que pueden utilizarse para elevación de privilegios. |
Alta |
GKE en Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad en el kernel de Linux, CVE-2022-3176, que puede provocar a la elevación de privilegios local. Esta vulnerabilidad permite que un usuario sin privilegios logre del escape del contenedor completo para obtener permisos de administrador en el nodo. ¿Qué debo hacer?No se requiere ninguna acción. GKE en Bare Metal no se ve afectado por esta CVE, ya que no agrupa un sistema operativo en su distribución. |
Ninguna |
GCP-2022-018
Publicado: 01-08-2022
Actualizado: 14-09-2022, 2023-12-21
Referencia: CVE-2022-2327
Actualización del 21/12/2023: Aclara que los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados.
Actualización del 14/09/2022: Se agregaron versiones de parche para GKE en VMware, GKE en AWS y GKE en Azure.
GKE
Última actualización: 21-12-2023
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2022-2327) en el Kernel de Linux que puede conducir a la elevación de privilegios local Esta permite que un usuario sin privilegios logre una carga un ajuste a la raíz en el nodo. Detalles técnicosActualización del 21-12-2023: En el boletín original, se indicaba Autopilot
se ven afectados, pero esto no era correcto. Autopilot de GKE
en la configuración predeterminada no se ven afectados, pero pueden ser vulnerables si
establecer de forma explícita el perfil seccomp Unconfined
permitir Los clústeres de GKE, incluidos los de Autopilot, con Container-Optimized OS (COS) que usan la versión 5.10 del kernel de Linux. Clústeres de GKE con imágenes de Ubuntu o con GKE Las zonas de pruebas no se ven afectadas. ¿Qué debo hacer?Actualiza los clústeres de GKE a una versión que incluya la solución.
Las imágenes de nodo de Linux para COS se actualizaron junto con GKE
con esas versiones de COS.
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite actualizar tus nodos a la versión con parche antes de que esa versión se convierta en la predeterminada en el canal de versiones seleccionado. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-2327, el kernel de Linux en la versión 5.10 tiene un en el subsistema io_uring donde se realizan varias solicitudes tipos de elementos faltantes (marcas). El uso de estas solicitudes sin la autorización los tipos de elementos especificados pueden causar la elevación de privilegios a la raíz. |
Alta |
GKE en VMware
Última actualización: 14-09-2022
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2022-2327) en Linux que puede conducir a la elevación de privilegios local. Esta permite que un usuario sin privilegios logre una carga un ajuste a la raíz en el nodo. Los clústeres con una imagen de Container Optimized OS (COS) que usan las versiones 1.10, 1.11 y 1.12 de GKE en VMware se ven afectados. ¿Qué debo hacer?Actualización del 14-09-2022: Las siguientes versiones de GKE en VMware contiene código que corrige esta vulnerabilidad.
Se lanzarán las versiones de GKE alojadas en VMware que contengan parches. pronto. Este boletín de seguridad se actualizará cuando GKE en VMware están disponibles para descargar. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-2327, el kernel de Linux en la versión 5.10 tiene un en el subsistema io_uring donde se realizan varias solicitudes tipos de elementos faltantes (marcas). El uso de estas solicitudes sin la autorización los tipos de elementos especificados pueden causar la elevación de privilegios a la raíz. |
Alta |
GKE en AWS
Última actualización: 14-09-2022
Descripción | Gravedad |
---|---|
.
Se descubrió una nueva vulnerabilidad (CVE-2022-2327) en Linux que puede conducir a la elevación de privilegios local. Esta permite que un usuario sin privilegios logre una carga un ajuste a la raíz en el nodo. ¿Qué debo hacer?Actualización del 14/09/2022: Las siguientes versiones de generación actuales y anteriores de GKE en AWS se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS: Generación actual
Generación anterior
Pronto se lanzarán versiones de GKE en AWS que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de GKE en AWS estén disponibles para su descarga. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-2327, el kernel de Linux en la versión 5.10 tiene un en el subsistema io_uring donde se realizan varias solicitudes tipos de elementos faltantes (marcas). El uso de estas solicitudes sin la autorización los tipos de elementos especificados pueden causar la elevación de privilegios a la raíz. |
Alta |
GKE en Azure
Última actualización: 14-09-2022
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2022-2327) en Linux que puede conducir a la elevación de privilegios local. Esta permite que un usuario sin privilegios logre una carga un ajuste a la raíz en el nodo. ¿Qué debo hacer?Actualización del 14/09/2022: Las siguientes versiones de GKE en Azure se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de Anthos en Azure:
Pronto se lanzarán versiones de Anthos en Azure que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de Anthos en Azure estén disponibles para su descarga. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-2327, el kernel de Linux en la versión 5.10 tiene un en el subsistema io_uring donde se realizan varias solicitudes tipos de elementos faltantes (marcas). El uso de estas solicitudes sin la autorización los tipos de elementos especificados pueden causar la elevación de privilegios a la raíz. |
Alta |
Google Distributed Cloud Virtual para Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una nueva vulnerabilidad (CVE-2022-2327) en Linux que puede conducir a la elevación de privilegios local. Esta permite que un usuario sin privilegios logre una carga un ajuste a la raíz en el nodo. ¿Qué debo hacer?No es necesario que realices ninguna acción. Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta CVE, ya que no agrupa un sistema operativo en su distribución. |
Ninguna |
GCP-2022-017
Publicado: 29-06-2022
Actualizado: 22-11-2022
Referencia: CVE-2022-1786
Actualizado el 22-11-2022: Se actualizó la información sobre las cargas de trabajo con GKE Sandbox.
Actualización del 21-07-2022: Se actualizó la información de las imágenes de COS de GKE alojados en VMware
se ven afectadas.
GKE
Última actualización: 22-11-2022
Descripción | Gravedad |
---|---|
Actualización del 22-11-2022: Las cargas de trabajo que usan GKE Sandbox no se ven afectadas por estas vulnerabilidades. Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Solo los clústeres que ejecutan Container-Optimized OS se ven afectados. Las versiones de GKE Ubuntu usan la versión 5.4 o 5.15 del kernel y no se ven afectadas. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para Container-Optimized OS para las siguientes versiones de GKE se actualizaron con código a fin de corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las próximas versiones de GKE que se indican a continuación:
Una función reciente de canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite actualizar tus nodos a la versión con parche antes de que esa versión se convierta en la predeterminada en el canal de versiones seleccionado. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-1786, se encontró una falla de uso después de la liberación en el subsistema io_uring del kernel de Linux. Si un usuario configura un anillo con IORING_SETUP_IOPOLL con más de una tarea que completa los envíos del anillo, un usuario local puede causar una falla o escalar sus privilegios en el sistema. |
Alta |
GKE en VMware
Última actualización: 14-07-2022
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. ¿Qué debo hacer?Actualización del 21/07/2022: Las siguientes versiones de GKE en VMware contienen código que corrige esta vulnerabilidad. COS
UbuntuNo es necesario que realices ninguna acción. GKE en VMware no usa las versiones afectadas del kernel de Linux. |
Ninguna |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. ¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en AWS no usa las versiones afectadas del kernel de Linux. |
Ninguna |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. ¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Azure no usa las versiones afectadas del kernel de Linux. |
Ninguna |
Google Distributed Cloud Virtual para Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad nueva (CVE-2022-1786) en las versiones 5.10 y 5.11 del kernel de Linux. Esta vulnerabilidad permite que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. ¿Qué debo hacer?No es necesario que realices ninguna acción. Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta CVE ya que no agrupa un sistema operativo en su distribución. |
Ninguna |
GCP-2022-016
Fecha de publicación: 23/06/2022
Última actualización: 22-11-2022
Referencias: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
Actualización del 22/11/2022: Se agregó información sobre las cargas de trabajo que se ejecutan en clústeres de Autopilot.
Actualización del 29/07/2022: Versiones actualizadas de GKE en VMware.
GKE en AWS y GKE en Azure.
GKE
Última actualización: 22-11-2022
Descripción | Gravedad |
---|---|
Actualización del 22-11-2022: Los clústeres de Autopilot no se ven afectados por CVE-2022-29581, pero son vulnerables a CVE-2022-29582 y CVE-2022-1116. Actualización del 29-07-2022: Los Pods que usan GKE Sandbox no son vulnerables a estas vulnerabilidades. Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Afecta a todos los clústeres de Linux (Container-Optimized OS y Ubuntu). ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para Container-Optimized OS y Ubuntu para las siguientes versiones de GKE se actualizaron con código a fin de corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite actualizar tus nodos a la versión con parche antes de que esa versión se convierta en la predeterminada en el canal de versiones seleccionado. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring. CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz. |
Alta |
GKE en VMware
Última actualización: 29-07-2022
Descripción | Gravedad |
---|---|
Actualización del 29-07-2022: Las siguientes versiones de GKE en VMware contiene código que corrige estas vulnerabilidades.
Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Estas vulnerabilidades afectan a GKE en WMware v1.9 y versiones posteriores para las imágenes de Container-Optimized OS y Ubuntu. ¿Qué debo hacer?Pronto se lanzarán versiones de GKE en VMware que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de GKE alojadas en VMware estén disponibles para descargar. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring. CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz. |
Alta |
GKE en AWS
Última actualización: 29-07-2022
Descripción | Gravedad |
---|---|
Actualización del 29/07/2022: Actualización: Las siguientes versiones de generación actuales y anteriores de GKE en AWS se actualizaron con código para corregir estas vulnerabilidades. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS: Generación actual:
Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Estas vulnerabilidades afectan a todas las versiones de GKE en AWS. ¿Qué debo hacer?Pronto se lanzarán versiones de GKE en AWS que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de GKE en AWS estén disponibles para su descarga. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring. CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz. |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Actualización del 29/07/2022: Actualización: Las siguientes versiones de GKE en Azure se actualizaron con un código para corregir estas vulnerabilidades. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en Azure:
Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. Estas vulnerabilidades afectan a todas las versiones de GKE en Azure. ¿Qué debo hacer?Pronto se lanzarán versiones de Anthos en Azure que contienen parches. Este boletín de seguridad se actualizará cuando las versiones de GKE en Azure estén disponibles para su descarga. ¿Qué vulnerabilidades trata este parche?Con CVE-2022-29582, el kernel de Linux en versiones anteriores a la 5.17.3 tiene un uso después de la liberación debido a una condición de carrera en tiempos de espera io_uring. CVE-2022-29581 y CVE-2022-1116 son vulnerabilidades en las que un atacante local puede causar daños en la memoria en io_uring o net/sched en el kernel de Linux para escalar privilegios hasta la raíz. |
Alta |
Google Distributed Cloud Virtual para Bare Metal
Descripción | Gravedad |
---|---|
Se descubrieron tres vulnerabilidades nuevas de corrupción de memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) en el kernel de Linux. Estas vulnerabilidades permiten que un usuario sin privilegios con acceso local al clúster logre un desglose completo de los contenedores hasta la raíz en el nodo. ¿Qué debo hacer?No es necesario que realices ninguna acción. Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta vulnerabilidad, ya que no agrupa un sistema operativo en su distribución. |
Ninguna |
GCP-2022-014
Fecha de publicación: 26/04/2022
Última actualización: 22-11-2022
Actualización del 22/11/2022: Se agregó información sobre las cargas de trabajo que se ejecutan en clústeres de Autopilot.
Actualización del 12/05/2022: Versiones de parche actualizadas para GKE en AWS y GKE en Azure.
Referencia: CVE-2022-1055, CVE-2022-27666
GKE
Última actualización: 22-11-2022
Descripción | Gravedad |
---|---|
Actualización del 22-11-2022: Las cargas de trabajo y los clústeres de GKE Autopilot que se ejecutan en GKE Sandbox no se ven afectados por estas vulnerabilidades. Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu). Detalles técnicosEn CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo. En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE:
¿Qué vulnerabilidades trata este parche? |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu). Detalles técnicosEn CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo. En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo. ¿Qué debo hacer?Actualiza el clúster a una versión con parche. En las siguientes versiones o en otras más recientes de GKE en VMware , se incluye la solución para esta vulnerabilidad:
¿Qué vulnerabilidades trata este parche? |
Alta |
GKE en AWS
Actualización: 12-05-2022
Descripción | Gravedad |
---|---|
Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu). Detalles técnicosEn CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo. En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo. ¿Qué debo hacer?Actualización del 12/05/2022: Las siguientes versiones de generación actuales y anteriores de los clústeres de GKE en AWS se actualizaron con código para corregir estas vulnerabilidades. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS: Generación actual
Actualiza el clúster a una versión con parche. Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles. ¿Qué vulnerabilidades trata este parche? |
Alta |
GKE en Azure
Actualización: 12-05-2022
Descripción | Gravedad |
---|---|
Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu). Detalles técnicosEn CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo. En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo. ¿Qué debo hacer?Actualización del 12/05/2022: Las siguientes versiones de Anthos en Azure se actualizaron con un código para corregir estas vulnerabilidades. Te recomendamos actualizar los nodos a una de las siguientes versiones de Anthos en Azure:
Actualiza el clúster a una versión con parche. Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles. ¿Qué vulnerabilidades trata este parche? |
Alta |
Google Distributed Cloud Virtual para Bare Metal
Descripción | Gravedad |
---|---|
Dos vulnerabilidades de seguridad: CVE-2022-1055 y CVE-2022-27666 se descubrieron en el kernel de Linux. Cada uno puede provocar que un atacante local pueda realizar un desglose de contenedores, elevación de privilegios en el host o ambos. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu). Detalles técnicosEn CVE-2022-1055, un atacante puede aprovechar el uso después de liberación en tc_new_tfilter(), que permite que un atacante local del contenedor aumente los privilegios al usuario raíz en el nodo. En CVE-2022-27666, el desbordamiento del búfer en esp/esp6_output_head permite que un atacante local en el contenedor eleve los privilegios a la raíz del nodo. ¿Qué debo hacer?No es necesario que realices ninguna acción. Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta CVE, ya que no incluye Linux como parte de su paquete. Debes asegurarte de que las imágenes de nodo que uses se actualicen a versiones que contengan la corrección para CVE-2022-1055 y CVE-2022-27666. ¿Qué vulnerabilidades trata este parche? |
Alta |
GCP-2022-013
Fecha de publicación: 11/04/2022
Última actualización: 20-04-2022
Referencia: CVE-2022-23648
Actualización del 22/04/2022: Se actualizaron las versiones de los parches de Google Distributed Cloud Virtual para Bare Metal y GKE en VMware.
GKE
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host. Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Esta vulnerabilidad afecta a todos los sistemas operativos de los nodos de GKE (Container-Optimized OS y Ubuntu) que usan containerd de forma predeterminada. Todos los nodos de GKE, Autopilot y GKE Sandbox se ven afectados. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus nodos a una de las siguientes versiones de GKE:
Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. |
Media |
GKE en VMware
Actualización: 22/04/2022
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host. Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Esta vulnerabilidad afecta a todos los GKE en VMware con Stackdriver habilitado, que usa containerd. Las versiones 1.8, 1.9 y 1.10 de GKE en VMware se ven afectadas ¿Qué debo hacer?Actualización del 22/04/2022: Las siguientes versiones de GKE en VMware contienen código que corrige esta vulnerabilidad.
Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos que actualices los nodos a una de las siguientes versiones de GKE alojadas en VMware:
Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero. |
Media |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host. Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Todos los nodos de GKE en AWS se ven afectados. ¿Qué debo hacer?Las siguientes versiones de GKE en AWS se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos actualizar los nodos a una de las siguientes versiones de GKE en AWS. GKE en AWS (generación actual)
GKE en AWS (generación anterior)
Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero. |
Media |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host. Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Todas las versiones de Anthos en Azure se ven afectadas. ¿Qué debo hacer?Las siguientes versiones de Anthos en Azure se actualizaron con un código para corregir esta vulnerabilidad. Te recomendamos actualizar los nodos de la siguiente manera:
Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero. |
Media |
Google Distributed Cloud Virtual para Bare Metal
Actualización: 22/04/2022
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad, CVE-2022-23648, en el control de containerd del recorrido de ruta en la especificación del volumen de imágenes de OCI. Los contenedores que se lanzan mediante la implementación de CRI de containerd con una configuración de imagen creada especialmente podrían obtener acceso completo de lectura a directorios y archivos arbitrarios en el host. Esta vulnerabilidad puede omitir cualquier aplicación basada en políticas en la configuración de contenedores (incluida una política de seguridad de Pods de Kubernetes). Esta vulnerabilidad afecta a todo Google Distributed Cloud Virtual para Bare Metal que usa containerd. Las versiones 1.8, 1.9 y 1.10 de Google Distributed Cloud Virtual para Bare Metal están afectadas ¿Qué debo hacer?Actualización del 22/04/2022: Las siguientes versiones de Google Distributed Cloud Virtual para Bare Metal contienen código que corrige esta vulnerabilidad.
Las siguientes versiones de Google Distributed Cloud Virtual para Bare Metal se actualizaron con código para corregir esta vulnerabilidad. Te recomendamos que actualices los nodos a una de las siguientes versiones de Google Distributed Cloud Virtual para Bare Metal:
Esta CVE se puede mitigar si configuras IgnoreImageDefinedVolumes como verdadero. |
Medio |
GCP-2022-012
Fecha de publicación: 7 de abril de 2022
Última actualización: 22-11-2022
Referencia: CVE-2022-0847
Actualización del 22/11/2022: Se actualizó la información sobre las cargas de trabajo que usan GKE Sandbox.
GKE
Última actualización: 22-11-2022
Descripción | Gravedad |
---|---|
Actualización del 22-11-2022: Las cargas de trabajo que usan GKE Sandbox no se ven afectadas por estas vulnerabilidades. Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios del contenedor a raíz. Esta vulnerabilidad afecta a las versiones del grupo de nodos de GKE v1.22 y posteriores que usen imágenes de Container-Optimized OS (Container-Optimized OS 93 y versiones posteriores). Los grupos de nodos de GKE que usan el SO de Ubuntu no se ven afectados. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:
Una función reciente de los canales de versiones te permite aplicar una versión de parche de otros canales de versiones sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico. ¿Qué vulnerabilidades trata este parche?CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios. Se integraron nuevas versiones de Container-Optimized OS que solucionan este en las versiones actualizadas de grupos de nodos de GKE. |
Alta |
GKE en VMware
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz. Esta vulnerabilidad afecta a GKE en WMware v1.10 para imágenes de Container-Optimized OS. Actualmente, los clústeres de GKE en VMware con Ubuntu se encuentran en la versión de kernel 5.4 y no son vulnerables a este ataque. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE en VMware se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos que actualices los clústeres de administrador y de usuario a la siguiente versión de GKE alojada en VMware:
¿Qué vulnerabilidades trata este parche?CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios. Se integraron nuevas versiones de Container-Optimized OS que solucionan este en las versiones actualizadas de los clústeres de GKE en VMware. |
Alta |
GKE en AWS
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz. Esta vulnerabilidad afecta a los clústeres administrados de GKE en AWS v1.21 y a los clústeres que se ejecutan en GKE en AWS (generación anterior) v1.19, v1.20 y v1.21, que usan Ubuntu. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de Anthos en Azure se actualizaron con un código que corrige esta vulnerabilidad. Para los clústeres administrados de GKE en AWS, te recomendamos actualizar tus clústeres de usuario y grupo de nodos a una de las siguientes versiones:
Para los clústeres de GKE k-lite en AWS, te recomendamos actualizar tus objetos AWSManagementService, AWSCluster y AWSNodePool a la siguiente versión:
¿Qué vulnerabilidades trata este parche?CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios. |
Alta |
GKE en Azure
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz. Esta vulnerabilidad afecta a los clústeres administrados de Anthos en Azure v1.21 que usan Ubuntu. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE en Azure se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos actualizar los clústeres de usuario y el grupo de nodos a la siguiente versión:
¿Qué vulnerabilidades trata este parche?CVE-2022-0847 se relaciona con la marca PIPE_BUF_FLAG_CAN_MERGE que se introdujo en la versión 5.8 del kernel de Linux. En esta vulnerabilidad, el miembro “marcas” de la estructura del búfer de canalización nuevo no tenía la inicialización adecuada en el kernel de Linux. Un atacante local sin privilegios puede usar esta vulnerabilidad para escribir en las páginas de la caché de páginas respaldada por archivos de solo lectura y aumentar sus privilegios. |
Alta |
Google Distributed Cloud Virtual para Bare Metal
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad, CVE-2022-0847, en la versión de kernel 5.8 de Linux y versiones posteriores que pueden aumentar los privilegios a raíz. ¿Qué debo hacer?No es necesario que realices ninguna acción. Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta CVE, ya que no incluye Linux como parte de su paquete. Debes asegurarte de que las imágenes de nodo que uses se actualicen a versiones que contengan la corrección para CVE-2022-0847. |
Alta |
GCP-2022-011
Publicado: 22-03-2022
Actualizado: 11-08-2022
Actualización del 11-08-2022: Se agregaron más detalles sobre los efectos de la configuración incorrecta de SMT.
GKE
Descripción | Gravedad |
---|---|
Actualización 11-08-2022: Se agregó más información sobre el Configuración de varios subprocesos simultáneos (SMT) SMT estaba destinado a estar inhabilitada, pero estaba habilitada en las versiones indicadas. Si seleccionas manualmente SMT habilitado para un grupo de nodos de zona de pruebas, SMT permanecerá habilitado de forma manual a pesar de este problema. Hay una configuración incorrecta con los multisubprocesos simultáneos (SMT) simultáneos, también conocido como hipersubprocesos, en imágenes de GKE Sandbox. La configuración incorrecta deja a los nodos potencialmente expuestos a ataques de canal lateral, como el muestreo de datos de microarquitectura (MDS) (para obtener más contexto, consulta la documentación de GKE Sandbox). No recomendamos usar las siguientes versiones afectadas:
Si habilitaste los SMT para un grupo de nodos de forma manual, este problema no afectará a tus nodos en zona de pruebas. ¿Qué debo hacer?Actualiza tus nodos a una de las siguientes versiones:
¿Qué vulnerabilidad trata este parche?Los nodos de GKE Sandbox tienen los SMT inhabilitados de forma predeterminada, lo que mitiga los ataques de canal lateral. |
Media |
GCP-2022-009
Fecha de publicación: 01/03/2022
Última actualización: 15/03/2022
GKE
Descripción | Gravedad |
---|---|
Actualización del 15/03/2022: Se agregaron guías de endurecimiento para GKE en AWS y GKE en Azure. Se agregó una sección sobre la persistencia mediante webhooks. Algunas rutas inesperadas para acceder a la VM del nodo en los clústeres de GKE Autopilot podrían haberse usado a fin de escalar privilegios en el clúster. Estos problemas se solucionaron y no se requiere ninguna otra acción. Las correcciones abordan problemas informados a través de nuestro Programa de recompensas por detección de vulnerabilidades. De manera opcional, los usuarios de clústeres de GKE Standard y clústeres de GKE pueden aplicar una política de endurecimiento similar, como se describe a continuación. Detalles técnicosAcceso al host mediante exenciones de políticas de tercerosPara permitir que Google Cloud ofrezca la administración completa de nodos, y un ANS a nivel de Pod, GKE Autopilot restringe algunas primitivas de Kubernetes con una gran cantidad de privilegios para evitar que las cargas de trabajo tengan acceso de bajo nivel a la VM del nodo. Para configurar esto en contexto, GKE Standard presenta acceso completo al procesamiento subyacente, Autopilot presenta acceso limitado y Cloud Run no presenta acceso. Autopilot flexibiliza algunas de esas restricciones para una lista predefinida de herramientas de terceros a fin de permitir que los clientes ejecuten esas herramientas en Autopilot sin modificaciones. Mediante el uso de privilegios para crear Pods con activaciones en la ruta del host, el investigador pudo ejecutar un contenedor con privilegios en un Pod que se veía como una de estas herramientas de terceros incluidas en la lista de entidades permitidas, a fin de obtener acceso al host. La capacidad de programar los Pods de esta manera se espera en GKE Standard, pero no en GKE Autopilot, ya que omitió las restricciones de acceso al host que se usaron para habilitar el ANS descrito antes. Este problema se solucionó cuando se ajustó la especificación del Pod sobre las lista de entidades permitidas de terceros. Elevación de privilegios de raíz en nodoAdemás del acceso al host, los Pods
Como medida de endurecimiento del sistema para evitar este tipo de ataque en el futuro, aplicaremos una restricción de Autopilot a una versión próxima que evite las actualizaciones de la cuenta de servicio de varios objetos en el espacio de nombres
Agregación 15/03/2022: Persistencia mediante webhooks de mutaciónSe usaron webhooks de mutación en el informe para establecer una huella privilegiada en el clúster después de la vulneración. Estas son partes estándar de la API de Kubernetes que crean los administradores de clústeres y se hicieron visibles para los administradores cuando Autopilot agregó compatibilidad con webhooks definidos por el cliente. Cuentas de servicio con privilegios en el espacio de nombres predeterminadoLos ejecutores de políticas de Autopilot antes permitían dos cuentas de servicio en el espacio de nombres predeterminado: ¿Qué debo hacer?Se actualizaron las políticas de todos los clústeres de GKE Autopilot para quitar el acceso al host no deseado y no se requieren más acciones. Se aplicará un mayor endurecimiento de políticas a Autopilot en las próximas semanas como protección secundaria. No es necesario que realices ninguna acción. Los clústeres de GKE Standard y los de GKE no se ven afectados, ya que los usuarios ya tienen acceso al host. Como medida de endurecimiento del sistema, los usuarios de clústeres de GKE Standard y de GKE pueden aplicar una protección similar con una política de Gatekeeper que evita la automodificación de cargas de trabajo privilegiadas. Para obtener instrucciones, consulta las siguientes guías de endurecimiento:
|
Baja |
GCP-2022-008
Publicación: 23-02-2022
Updated: 28-04-2022
Referencia:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657,
CVE-2022-21656
GKE
Descripción | Gravedad |
---|---|
Hace poco, el proyecto de Envoy descubrió un conjunto de vulnerabilidades, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657 y CVE-2022-21656, que pueden afectar los clústeres de GKE mediante Anthos Service Mesh, Istio-on-GKE o implementaciones personalizadas de Istio. Todos los problemas que se mencionan a continuación se corrigen en la versión 1.21.1 de Envoy. Información técnica Puedes encontrar detalles adicionales sobre estas vulnerabilidades aquí. ¿Qué debo hacer?Los clústeres de GKE que ejecutan Anthos Service Mesh deben actualizarse a una versión compatible con la corrección de las vulnerabilidades anteriores
Los clústeres de GKE que ejecutan Istio-on-GKE deben actualizarse a una versión compatible con corrección de las vulnerabilidades anteriores
¿Qué vulnerabilidades trata este parche?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, y CVE-2022-21656 |
Alta |
GKE en VMware
Actualización: 28-04-2022
Descripción | Gravedad |
---|---|
Recientemente, Envoy lanzó varias correcciones de vulnerabilidades de seguridad. GKE en VMware
porque Envoy se usa con metrics-server. Las CVE de Envoy que corregiremos se enumeran a continuación. Actualizaremos este boletín con versiones específicas cuando estén disponibles:
Hace poco tiempo, Istio lanzó una corrección de vulnerabilidad de seguridad. Anthos en VMware se ve afectado porque Istio se usa para la entrada. Las CVE de Istio que corregiremos se enumeran a continuación. Actualizaremos este boletín con versiones específicas cuando estén disponibles. CVE-2022-23635 (puntuación de CVSS 7.5, Alta): Istiod falla cuando recibe solicitudes con un encabezado de "autorización" creado especialmente.Para ver las descripciones y los impactos completos de las CVE anteriores, consulta los boletines de seguridad. Agregación del 28-04-2022: ¿Qué debo hacer?Las siguientes versiones de GKE en VMware corrigen estas vulnerabilidades:
¿Qué vulnerabilidades trata este parche?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, y CVE-2022-21656 |
Alta |
Google Distributed Cloud Virtual para Bare Metal
Descripción | Gravedad |
---|---|
Recientemente, Envoy lanzó varias correcciones de vulnerabilidades de seguridad. Anthos en Bare Metal se ve afectado porque Envoy se usa para el servidor de métricas.
Las CVE de Envoy que corregiremos en la versión 1.10.3, 1.9.6 y 1.8.9 se enumeran a continuación:
Para obtener las descripciones y el impacto completos de las CVE anteriores, consulta los boletines de seguridad. ¿Qué vulnerabilidades trata este parche?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, y CVE-2022-21656 |
Alta |
GCP-2022-006
Fecha de publicación: 14/02/2022
Actualización: 16/05/2022
Actualización del 16/05/2022: Se agregó la versión 1.19.16-gke.7800 o posterior de GKE a la lista de versiones que tienen código para corregir esta vulnerabilidad.
Actualización del 12/05/2022: Versiones actualizadas de los parches para GKE, Google Distributed Cloud Virtual para Bare Metal, GKE en VMware y GKE en AWS.
Se solucionó un problema en el cual el boletín de seguridad de los clústeres de GKE en AWS no se mostró cuando se agregó el 23/02/2022.
GKE
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función ¿Qué debo hacer?Actualización del 16/05/2022: Además de las versiones de GKE mencionadas en la actualización del 12/05/2022, la versión 1.19.16-gke.7800 o posterior de GKE también contiene código que corrige esta vulnerabilidad. Actualización del 12/05/2022: Las siguientes versiones de GKE contienen código que corrige esta vulnerabilidad:
Actualización del 15/02/2022: Se corrigió la declaración de gVisor. La vulnerabilidad se encuentra en
Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles. ¿Qué vulnerabilidad trata este parche?CVE-2022-0492 |
Baja |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función ¿Qué debo hacer?Actualización del 12-05-2022: Las siguientes versiones de GKE en VMware contienen código que corrige este problema en la nube. COS
La vulnerabilidad se encuentra en cgroup_release_agent_write del kernel de Linux en la función kernel/cgroup/cgroup-v1.c y se puede usar como interrupción en el contenedor. Los clústeres de GKE en VMware no se ven afectados debido a la protección del perfil de AppArmor predeterminado en Ubuntu y COS. Sin embargo, algunos clientes aún pueden ser vulnerables si disminuyen las restricciones de seguridad en los pods mediante la modificación del pod o el securityContext del contenedor, por ejemplo, inhabilitando o cambiando el perfil de AppArmor, lo que no se recomienda. Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles. ¿Qué vulnerabilidad trata este parche?CVE-2022-0492 |
Baja |
GKE en AWS
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función ¿Qué debo hacer?Actualización del 12/05/2022: Las siguientes versiones de los clústeres de GKE en AWS de generación actual y anterior contienen código que corrige esta vulnerabilidad: Generación actual
Actualización del 23/02/2022: Se agregó una nota para GKE en AWS. Los clústeres de GKE en AWS de generaciones anteriores y actuales no se ven afectados debido a la protección del perfil de AppArmor predeterminado en Ubuntu. Sin embargo, es posible que algunos clientes aún sean vulnerables si han flexibilizado las restricciones de seguridad en los Pods a través de la modificación del campo securityContext del Pod o del contenedor, p. ej., inhabilitando o cambiando el perfil de AppArmor, lo cual no se recomienda. Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles. ¿Qué vulnerabilidad trata este parche?CVE-2022-0492 |
Baja |
GKE Enterprise en
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2022-0492, en la función ¿Qué debo hacer?Actualización del 12/05/2022: Las siguientes versiones de GKE en Azure contienen código que corrige esta vulnerabilidad:
GKE en Azure no se ve afectado debido a la protección del perfil de AppArmor predeterminado en Ubuntu. Sin embargo, algunos clientes aún pueden ser vulnerables si disminuyen las restricciones de seguridad en los pods mediante la modificación del pod o el securityContext del contenedor, por ejemplo, inhabilitando o cambiando el perfil de AppArmor, lo que no se recomienda. Los parches estarán disponibles en una próxima actualización. Este boletín se actualizará cuando estén disponibles. ¿Qué vulnerabilidad trata este parche?CVE-2022-0492 |
Baja |
GCP-2022-005
Fecha de publicación: 11/02/2022Última actualización: 15-02-2022
Referencia: CVE-2021-43527
GKE
Descripción | Gravedad |
---|---|
Actualización del 15/02/2022: Algunas versiones de GKE mencionadas en el boletín original se combinaron con otras correcciones y se aumentaron sus números de versión antes del lanzamiento. Los parches están disponibles en las siguientes versiones de GKE:
Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP TLS o X.509 pueden verse afectadas, según cómo se use o configure NSS. Las imágenes de GKE COS y Ubuntu tienen una versión vulnerable instalada y se les debe aplicar un parche. Es posible que CVE-2021-43527 tenga un gran impacto en las aplicaciones que usan NSS para administrar firmas codificadas en CMS, S/MIME, PKCS#7 o PKCS#12. Además, las aplicaciones que usan NSS para la validación de certificados o cualquier otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas. El impacto depende de cómo se use o configure NSS. GKE no usa libnss3 para ninguna API a la que se pueda acceder a través de Internet. El impacto se limita al código en el host que se ejecuta fuera de contenedores, lo que es pequeño debido al diseño mínimo de Chrome SO. El código de GKE que se ejecuta dentro de contenedores mediante la imagen base distroless de golang no se ve afectado. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tu plano de control y tus nodos a una de las siguientes versiones de GKE:
¿Qué vulnerabilidad trata este parche? |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas, según cómo configuren NSS. Las imágenes de GKE en VMware COS y Ubuntu tienen una versión vulnerable y se deben aplicar parches. Es posible que CVE-2021-43527 tenga un gran impacto en las aplicaciones que usan NSS para administrar firmas codificadas en CMS, S/MIME, PKCS \#7 o PKCS \#12. Además, las aplicaciones que usan NSS para la validación de certificados o cualquier otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas. El impacto depende de cómo configuren o usen NSS. Anthos en VMware no usa libnss3 para ninguna API de acceso público, por lo que el impacto es limitado y la gravedad de esta CVE para los clústeres de GKE en VMware se califica como Media. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de Anthos se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tu plano de control y tus nodos a una de las siguientes versiones de Anthos:
¿Estás usando una versión anterior a la 1.18 de GKE alojado en VMware? Usas una versión de Anthos fuera del ANS y debes considerar actualizar a una de las versiones compatibles. ¿Qué vulnerabilidad trata este parche? |
Media |
GKE Enterprise en
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2021-43527, en cualquier objeto binario que se vincula con las versiones vulnerables de libnss3 que se encuentran en las versiones de NSS (Servicios de Seguridad de Red) anteriores a la versión 3.73 o 3.68.1. Las aplicaciones que usan NSS para validación de certificados u otra función de CRL, OCSP TLS o X.509 pueden verse afectadas, según cómo se use o configure NSS. Los clústeres de Anthos en las imágenes de Azure Ubuntu tienen instalada una versión vulnerable y se deben aplicar parches. Es posible que CVE-2021-43527 tenga un gran impacto en las aplicaciones que usan NSS para administrar firmas codificadas en CMS, S/MIME, PKCS#7 o PKCS#12. Además, las aplicaciones que usan NSS para la validación de certificados o cualquier otra función de CRL, OCSP, TLS o X.509 pueden verse afectadas. El impacto depende de cómo configuren o usen NSS. Los clústeres de Anthos alojados en Azure no usan libnss3 para ninguna API de acceso público, por lo que el impacto es limitado y la gravedad de esta CVE para Anthos on VMware se califica como Media. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de GKE en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de Anthos en Azure:
¿Qué vulnerabilidad trata este parche? |
Media |
GCP-2022-004
Fecha de publicación: 4 de febrero de 2022Referencia: CVE-2021-4034
GKE
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política. ¿Qué debo hacer?GKE no se ve afectado porque el módulo vulnerable, policykit-1, no está instalado en las imágenes de COS o Ubuntu usadas en GKE. No es necesario que realices ninguna acción. |
Ninguna |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política. La configuración predeterminada de GKE Enterprise ya otorga a los usuarios la capacidad de privilegios, por lo que este exploit no cambia la postura de seguridad existente de GKE Enterprise Detalles técnicosPara que se pueda aprovechar este error, un atacante necesita un shell no raíz en el sistema de archivos del nodo y tener instalada la versión vulnerable de pkexec. Si bien GKE en Azure incluyen una versión de policykit-1 en sus imágenes de actualización, la configuración predeterminada de GKE Enterprise permite hacer sudo sin contraseña a cualquier persona que tenga acceso a la shell, por lo que esta vulnerabilidad no le da más a un usuario privilegios que los que ya tiene. ¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en VMware no se ve afectado. |
Ninguna |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
GKE en AWS no se ve afectado. El módulo vulnerable, policykit-1, no está instalado en las imágenes de Ubuntu que usan las versiones actuales y anteriores de clústeres de GKE en AWS. | Ninguna |
GKE Enterprise en
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2021-4034, en pkexec, un componente del paquete del kit de políticas de Linux (polkit) que permite que un usuario autenticado realice un ataque de elevación de privilegios. Por lo general, PolicyKit solo se usa en sistemas de escritorio Linux para permitir que los usuarios no raíz realicen acciones, como reiniciar el sistema, instalar paquetes, reiniciar servicios, etc., según lo que estipule una política. La configuración predeterminada de GKE Enterprise ya otorga a los usuarios la capacidad de privilegios, por lo que este exploit no cambia la postura de seguridad existente de GKE Enterprise Detalles técnicosPara que se pueda aprovechar este error, un atacante necesita un shell no raíz en el sistema de archivos del nodo y tener instalada la versión vulnerable de pkexec. Si bien GKE en Azure incluyen una versión de policykit-1 en sus imágenes de actualización, la configuración predeterminada de GKE Enterprise permite hacer sudo sin contraseña a cualquier persona que tenga acceso a la shell, por lo que esta vulnerabilidad no le da más a un usuario privilegios que los que ya tiene. ¿Qué debo hacer?No es necesario que realices ninguna acción. GKE en Azure no se ve afectado. |
Ninguna |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Google Distributed Cloud Virtual para Bare Metal podría verse afectado según los paquetes que estén instalados en el sistema operativo administrado por el cliente. Analiza tus imágenes de SO y aplica parches si es necesario. | Ninguna |
GCP-2022-002
Fecha de publicación: 01-02-2022Última actualización: 07-03-2022
Referencia: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Actualización del 04-02-2022: Se agregaron secciones para los clústeres de Anthos alojados en AWS y Anthos en Azure. Se agregaron actualizaciones de lanzamiento para GKE y GKE en VMware.
GKE
Actualizado: 07-03-2022
Descripción | Gravedad |
---|---|
Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, GKE en VMware, GKE en AWS (generación actual y anterior) y GKE en Azure. Los Pods que usan GKE Sandbox no son vulnerables a estas vulnerabilidades. Consulta las notas de la versión de COS para obtener más información. Detalles técnicosEn CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host. Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor. La ruta de explotación para esta vulnerabilidad que depende de la llamada de sistema “unshare” se bloquea en los clústeres de GKE Autopilot de forma predeterminada con el filtrado seccomp. Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos. ¿Qué debo hacer?Actualización del 07/03/2022: Las versiones de las imágenes de nodos de Linux para las siguientes versiones de GKE se actualizaron con código que corrige todas estas vulnerabilidades de las imágenes de Ubuntu y COS. Actualiza el plano de control y los nodos a una de las siguientes versiones de GKE.
Actualización del 25-02-2022: Si usas imágenes de nodo de Ubuntu, 1.22.6-gke.1000 no aborda CVE-2021-22600. Actualizaremos este boletín con las versiones de parche de Ubuntu cuando estén disponibles. Actualización del 23-02-2022: Las versiones de las imágenes de nodos de Linux para las siguientes versiones de GKE se actualizaron con código a fin de corregir estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE.
Actualización del 04-02-2022: La fecha de inicio del lanzamiento de las versiones de parche de GKE fue el 2 de febrero. Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE.
Las versiones 1.22 y 1.23 también están en progreso. Actualizaremos este boletín con versiones específicas cuando estén disponibles. ¿Qué vulnerabilidad trata este parche? |
Alta |
Clústeres de GKE en
Última actualización: 23-02-2022
Descripción | Gravedad |
---|---|
Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, GKE en VMware, GKE en AWS (generación actual y anterior) y GKE en Azure. Consulta las notas de la versión de COS para obtener más información. Detalles técnicosEn CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host. Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor. Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos. ¿Qué debo hacer?Actualización del 23-02-2022: la versión 1.10.2 (Correcciones CVE-2021-22600, CVE-2021-4154 y CVE-2022-0185) ahora está programada para el 1 de marzo. Actualización del 23-02-2022: Se agregaron versiones con parche que abordan la CVE-2021-2260. La versión 1.10.1 no aborda la CVE-2021-22600, pero sí aborda las otras vulnerabilidades. Las versiones 1.9.4 y 1.10.2, aún no publicadas, abordarán la CVE-2021-22600. Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tu clústeres a una de las siguientes versiones de GKE alojadas en VMware:
Actualización del 04-02-2022: Se agregó información sobre las imágenes de Ubuntu que no abordan CVE-2021-22600. Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza los clústeres a uno de los siguientes versiones de GKE alojadas en VMware:
¿Qué vulnerabilidad trata este parche? |
Alta |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, GKE en VMware, GKE en AWS (generación actual y anterior) y GKE en Azure. Consulta las notas de la versión de COS para obtener más información. Detalles técnicosEn CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host. Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor. Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos. ¿Qué debo hacer?GKE en AWSLas versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a la siguiente versión de GKE en AWS:
GKE en AWS (generación anterior)Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de GKE en AWS (generación anterior) se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a una de las siguientes versiones de GKE en AWS (generación anterior):
¿Qué vulnerabilidad trata este parche? |
Alta |
GKE Enterprise en
Descripción | Gravedad |
---|---|
Tres vulnerabilidades de seguridad, CVE-2021-4154, CVE-2021-22600 y CVE-2022-0185, se descubrieron en el kernel de Linux, cada una de las cuales puede generar una fuga del contenedor, la elevación de privilegios en el host o ambas. Estas vulnerabilidades afectan a todos los sistemas operativos de los nodos (COS y Ubuntu) en GKE, GKE en VMware, GKE en AWS (generación actual y anterior) y GKE en Azure. Consulta las notas de la versión de COS para obtener más información. Detalles técnicosEn CVE-2021-4154, un atacante puede aprovechar el parámetro de llamada al sistema CVE-2021-22600 es un ataque de doble free en package_set_ring que puede llevar a un escape del contenedor en el nodo host. Con CVE-2022-0185, un error de desbordamiento de memoria en legacy_parse_param() puede llevar a una escritura fuera de los límites, lo que causará una fuga del contenedor. Los usuarios que habilitaron de forma manual el perfil de seccomp del entorno de ejecución del contenedor predeterminado en los clústeres de GKE Standard también están protegidos. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de clústeres de GKE en VMware se actualizaron con un código que corrige estas vulnerabilidades. Actualiza tus clústeres a la siguiente versión de GKE en Azure:
¿Qué vulnerabilidad trata este parche? |
Alta |
GCP-2021-024
Fecha de publicación: 21/10/2021Referencia: CVE-2021-25742
GKE
Descripción | Gravedad |
---|---|
Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres. ¿Qué debo hacer?Este problema de seguridad no afecta a tu clúster de GKE de Google o cualquier entorno de GKE Enterprise. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles. |
Ninguna |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres. ¿Qué debo hacer?Este problema de seguridad no afecta a tu clúster de GKE de Google o cualquier entorno de GKE Enterprise. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles. |
Ninguna |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres. ¿Qué debo hacer?Este problema de seguridad no afecta a tu clúster de GKE de Google o cualquier entorno de GKE Enterprise. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles. |
Ninguna |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó un problema de seguridad en el controlador ingress-nginx de Kubernetes, CVE-2021-25742. Los fragmentos personalizados de Ingress-nginx permiten la recuperación de tokens y secretos de cuentas de servicio de ingress-nginx en todos los espacios de nombres. ¿Qué debo hacer?Este problema de seguridad no afecta a tu clúster de GKE de Google o cualquier entorno de GKE Enterprise. Si usas Ingress-nginx en las implementaciones de tu carga de trabajo, debes tener en cuenta este problema de seguridad. Consulta el problema 7837 de Ingress-nginx para obtener más detalles. |
Ninguna |
GCP-2021-019
Publicada: 29-9-2021GKE
Descripción | Gravedad |
---|---|
Existe un problema conocido en el que la actualización de un recurso ¿Me afecta esta vulnerabilidad?Si tu kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Este problema afecta a las siguientes versiones de GKE:
Si no configuras Google Cloud Armor en tus recursos de Ingress a través de ¿Qué debo hacer?Actualiza tu plano de control de GKE a una de las siguientes versiones actualizadas que aplican parches a este problema y permiten que los recursos
Este problema también se puede prevenir si evitas la implementación de los recursos Para evitar este problema, solo realiza actualizaciones a tu Dado que En el siguiente manifiesto de muestra, se describe un recurso apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Si tienes herramientas o sistemas de CI/CD que actualizan recursos |
Baja |
GCP-2021-022
Fecha de publicación: 23/09/2021Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad en GKE Enterprise Identity Service (AIS) de las versiones 1.8 y 1.8.1 de GKE en VMware, en las que un clave inicial que se usa en la generación de claves es predecible. Con esta vulnerabilidad, un usuario autenticado podría agregar reclamaciones arbitrarias y escalar privilegios de forma indefinida. Detalles técnicosUna adición reciente al código AIS crea claves simétricas mediante el módulo math/rand de Golang, que no es adecuado para los códigos con seguridad sensible. El módulo se usa de una manera que generará una clave predecible. Durante la verificación de identidad, se genera una clave de servicio de token seguro (STS) que, luego, se encripta con una clave simétrica fácil de derivar. ¿Qué debo hacer?Esta vulnerabilidad solo afecta a los clientes que usan AIS en GKE en VMware versiones 1.8 y 1.8.1. Para usuarios de GKE en VMware 1.8, actualiza tus clústeres a la siguiente versión versión:
|
Alta |
GCP-2021-021
Fecha de publicación: 22/09/2021Referencia: CVE-2020-8561
GKE
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes Detalles técnicosCon esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API. ¿Qué debo hacer?No se requiere ninguna acción en este momento. Las versiones de GKE y GKE Enterprise disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:
¿Qué vulnerabilidad trata este parche?<pCVE-2020-8561 </p |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes Detalles técnicosCon esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API. ¿Qué debo hacer?No se requiere ninguna acción en este momento. Las versiones de GKE y GKE Enterprise disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:
¿Qué vulnerabilidad trata este parche?<p CVE-2020-8561 </p |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes Detalles técnicosCon esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API. ¿Qué debo hacer?No se requiere ninguna acción en este momento. Las versiones de GKE y GKE Enterprise disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:
¿Qué vulnerabilidad trata este parche?<pCVE-2020-8561 </p |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó una vulnerabilidad de seguridad, CVE-2020-8561, en Kubernetes, en la que se pueden realizar determinados webhooks para redireccionar las solicitudes Detalles técnicosCon esta vulnerabilidad, los actores que controlan las respuestas de las solicitudes Este problema se puede mitigar si cambias ciertos parámetros para el servidor de la API. ¿Qué debo hacer?No se requiere ninguna acción en este momento. Las versiones de GKE y GKE Enterprise disponibles en la actualidad implementaron las siguientes mitigaciones contra este tipo de ataques:
¿Qué vulnerabilidad trata este parche?<pCVE-2020-8561 </p |
Media |
GCP-2021-018
Publicado: 19-9-2021Actualizado: 20-9-2021
Referencia: CVE-2021-25741
Actualización del 24/09/2021: Se actualizó el boletín de GKE en Bare Metal con versiones de parche adicionales.
Actualización del 20/09/2021: Se agregaron boletines para GKE en Bare Metal
Actualización del 16-09-2021: Se agregaron boletines para GKE en VMware
GKE
Descripción | Gravedad |
---|---|
Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host. Detalles técnicos:En CVE-2021-25741, el atacante puede crear un vínculo simbólico desde un emptyDir activado en el sistema de archivos raíz del nodo ( / ), el kubelet seguirá el symlink y activa la raíz del host en el contenedor.¿Qué debo hacer?Te recomendamos actualizar tus grupos de nodos a una de las versiones siguientes o una versión posterior para aprovechar los parches más recientes:
Las siguientes versiones también contienen la corrección:
|
Alta |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host. Detalles técnicos:En CVE-2021-25741, el atacante puede crear un vínculo simbólico desde un emptyDir activado en el sistema de archivos raíz del nodo ( / ), el kubelet seguirá el symlink y activa la raíz del host en el contenedor.¿Qué debo hacer?Actualización del 24-9-2021: Ahora las versiones con parche 1.8.3 y 1.7.4 están disponibles. Actualizado el 2021-09-17: Se corrigió la lista de versiones disponibles que contienen el parche. Las siguientes versiones de GKE en VMware se actualizaron con código para solucionar esta vulnerabilidad. Actualiza tus clústeres de administrador y de usuario a una de las siguientes versiones:
|
Alta |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host. Detalles técnicos:En CVE-2021-25741, el atacante puede crear un vínculo simbólico desde un emptyDir activado en el sistema de archivos raíz del nodo ( / ), el kubelet seguirá el symlink y activa la raíz del host en el contenedor.¿Qué debo hacer?Actualización del 2021-9-16: Se agregó una lista de versiones de gke compatibles para los objetos Las siguientes versiones de GKE en AWS se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos que hagas lo siguiente:
|
Alta |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se descubrió un problema de seguridad en Kubernetes, CVE-2021-25741, en el que el usuario puede crear un contenedor con activaciones de volumen de ruta secundaria para acceder a archivos y directorios fuera del volumen, incluido en el sistema de archivos del host. Detalles técnicos:En CVE-2021-25741, el atacante puede crear un vínculo simbólico desde un emptyDir activado en el sistema de archivos raíz del nodo ( / ), el kubelet seguirá el symlink y activa la raíz del host en el contenedor.¿Qué debo hacer?Las siguientes versiones de GKE on Bare Metal se actualizaron con un código para corregir esta vulnerabilidad. Actualiza tus clústeres de administrador y de usuario a una de las siguientes versiones:
|
Alta |
GCP-2021-017
Fecha de publicación: 1 de septiembre de 2021Última actualización: 23-09-2021
Referencia: CVE-2021-33909
CVE-2021-33910
GKE
Descripción | Gravedad |
---|---|
Actualización (23-9-2021):Los contenedores que se ejecutan dentro de GKE Sandbox no se ven afectados por esta vulnerabilidad para los ataques que se originan en el contenedor. Actualización (15-9-2021):Las siguientes versiones de GKE abordan las vulnerabilidades:
Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una elevación de un usuario sin privilegios a permisos de administrador. Esta vulnerabilidad afecta a todos los sistemas operativos del nodo de GKE (COS y Ubuntu). Detalles técnicos:En CVE-2021-33909, la capa del sistema de archivos del kernel de Linux no restringe correctamente las asignaciones de búfer seq, lo que genera un desbordamiento de números enteros, una escritura fuera de los límites y una derivación a la raíz. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para las siguientes versiones de GKE se actualizaron con código que corrige esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:
|
Alta |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una elevación de un usuario sin privilegios a permisos de administrador. Esta vulnerabilidad afecta a todos los sistemas operativos del nodo de GKE (COS y Ubuntu). Detalles técnicos:En CVE-2021-33909, la capa del sistema de archivos del kernel de Linux no restringe correctamente las asignaciones de búfer seq, lo que genera un desbordamiento de números enteros, una escritura fuera de los límites y una derivación a la raíz. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux para los clústeres de GKE en AWS se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:
|
Alta |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se descubrieron dos vulnerabilidades de seguridad, CVE-2021-33909 y CVE-2021-33910, en el kernel de Linux que pueden provocar una falla del SO o una elevación de un usuario sin privilegios a permisos de administrador. Esta vulnerabilidad afecta a todos los sistemas operativos del nodo de GKE (COS y Ubuntu). Detalles técnicos:En CVE-2021-33909, la capa del sistema de archivos del kernel de Linux no restringe correctamente las asignaciones de búfer seq, lo que genera un desbordamiento de números enteros, una escritura fuera de los límites y una derivación a la raíz. ¿Qué debo hacer?Las versiones de las imágenes de nodo de Linux y COS para clústeres de GKE en VMware se actualizaron con un código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:
Consulta Historial de versiones: versiones de Kubernetes y del kernel del nodo. |
Alta |
GCP-2021-015
Fecha de publicación: 13/07/2021Última actualización: 15-07-2021
Referencia: CVE-2021-22555
GKE
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad nueva, CVE-2021-22555, en la que un actor malicioso con privilegios de Detalles técnicos
En este ataque, una escritura fuera de los límites en ¿Qué debo hacer?Las siguientes versiones de Linux en GKE se actualizaron con un código para corregir esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:
¿Qué vulnerabilidad trata este parche? |
Alta |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se descubrió una vulnerabilidad de seguridad nueva, CVE-2021-22555, en la que un actor malicioso con privilegios de Detalles técnicos
En este ataque, una escritura fuera de los límites en ¿Qué debo hacer?Las siguientes versiones de Linux en GKE alojados en VMware se actualizaron con código para corregirlas. esta vulnerabilidad. Actualiza tus clústeres a una de las siguientes versiones:
¿Qué vulnerabilidad trata este parche? |
Alta |
GCP-2021-014
Publicado: 2021-07-05Referencia: CVE-2021-34527
GKE
Descripción | Gravedad |
---|---|
Microsoft publicó un boletín de seguridad sobre una vulnerabilidad de ejecución de código remoto (RCE), CVE-2021-34527, que afecta la cola de impresión en los servidores de Windows. El CERT Coordination Center (CERT/CC) publicó una nota de actualización sobre una vulnerabilidad relacionada, denominada "PrintNightmare", que también afecta las colas de impresión de Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability. ¿Qué debo hacer?No es necesario que realices ninguna acción. Los nodos de Windows para GKE no contienen el servicio de cola la impresión afectado como parte de la imagen base, por lo que las implementaciones de Windows para GKE no son vulnerables a este ataque. ¿Qué vulnerabilidades trata este boletín?
|
Alta |
GCP-2021-012
Fecha de publicación: 1 de julio de 2021Última actualización: 9 de julio de 2021
Referencia: CVE-2021-34824
GKE
Descripción | Gravedad |
---|---|
¿Qué debo hacer?Hace poco, el proyecto Istio divulgó una vulnerabilidad de seguridad nueva (CVE-2021-34824) que afecta a Istio. Istio contiene una vulnerabilidad que se puede explotar de forma remota, donde se puede acceder a las credenciales especificadas en el campo credentialName de Gateway y DestinationRule desde diferentes espacios de nombres. Detalles técnicos:La Gateway segura de Istio o las cargas de trabajo que usan DestinationRule pueden cargar claves privadas y certificados TLS desde los secretos de Kubernetes mediante la configuración de credentialName. En Istio 1.8 y versiones posteriores, los secretos se leen desde istiod y se transmiten a las puertas de enlace y las cargas de trabajo a través de XDS. Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente con autorización para acceder a la API de Istio XDS recupere cualquier certificado y clave privada TLS almacenados en caché en istiod. ¿Qué debo hacer?Los clústeres de GKE no ejecutan Istio de forma predeterminada y, cuando están habilitados, usan la versión 1.6 de Istio, que no es vulnerable a este ataque. Si instalaste o actualizaste Istio en el clúster a Istio 1.8 o una versión posterior, actualiza Istio a la versión compatible más reciente. |
Alta |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
¿Qué debo hacer?Hace poco, el proyecto Istio divulgó una vulnerabilidad de seguridad nueva (CVE-2021-34824) que afecta a Istio. Istio contiene una vulnerabilidad que se puede explotar de forma remota, donde se puede acceder a las credenciales especificadas en el campo credentialName de Gateway y DestinationRule desde diferentes espacios de nombres. Detalles técnicos:La Gateway segura de Istio o las cargas de trabajo que usan DestinationRule pueden cargar claves privadas y certificados TLS desde los secretos de Kubernetes mediante la configuración de credentialName. En Istio 1.8 y versiones posteriores, los secretos se leen desde istiod y se transmiten a las puertas de enlace y las cargas de trabajo a través de XDS. Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente con autorización para acceder a la API de Istio XDS recupere cualquier certificado y clave privada TLS almacenados en caché en istiod. ¿Qué debo hacer?Los clústeres de Anthos alojados en VMware v1.6 y v1.7 no son vulnerables a este ataque. Los clústeres de Anthos alojados en VMware v1.8 son vulnerables. Si usas los clústeres de Anthos alojados en VMware v1.8, actualiza a la siguiente versión con parche o posterior:
|
Alta |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
¿Qué debo hacer?Hace poco, el proyecto Istio divulgó una vulnerabilidad de seguridad nueva (CVE-2021-34824) que afecta a Istio. Istio contiene una vulnerabilidad que se puede explotar de forma remota, donde se puede acceder a las credenciales especificadas en el campo credentialName de Gateway y DestinationRule desde diferentes espacios de nombres. Detalles técnicos:La Gateway segura de Istio o las cargas de trabajo que usan DestinationRule pueden cargar claves privadas y certificados TLS desde los secretos de Kubernetes mediante la configuración de credentialName. En Istio 1.8 y versiones posteriores, los secretos se leen desde istiod y se transmiten a las puertas de enlace y las cargas de trabajo a través de XDS. Por lo general, una implementación de carga de trabajo o puerta de enlace solo puede acceder a certificados y claves privadas TLS almacenados en el secreto de su espacio de nombres. Sin embargo, un error en istiod permite que un cliente con autorización para acceder a la API de Istio XDS recupere cualquier certificado y clave privada TLS almacenados en caché en istiod. Esta CVE afecta a los clústeres creados o actualizados con clústeres de Anthos en equipos físicos v1.8.0. ¿Qué debo hacer?Anthos v1.6 y 1.7 no son vulnerables a este ataque. Si tienes clústeres v1.8.0, descarga y, luego, instala la versión 1.8.1 de bmctl y actualiza tus clústeres a la siguiente versión con parche:
|
Alta |
GCP-2021-011
Publicado: 04-06-2021Actualizado: 19-10-2021
Referencia: CVE-2021-30465
Actualización del 19/10/2021: Se agregaron boletines para GKE en VMware. GKE en AWS y GKE en Bare Metal.
GKE
Descripción | Gravedad |
---|---|
Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en En el caso de GKE, debido a que aprovechar esta vulnerabilidad requiere la capacidad de crear pods, calificamos la gravedad como MEDIA. Detalles técnicos
El paquete Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink. Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz. ¿Qué debo hacer?Hay un parche nuevo para Actualiza tu clúster de GKE a una de las siguientes versiones actualizadas:
|
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en En el caso de los clústeres de GKE en VMware, dado que para aprovechar esta vulnerabilidad se requiere la capacidad de crear pods, calificamos la gravedad de esta vulnerabilidad como MEDIA. Detalles técnicos
El paquete Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink. Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz. ¿Qué debo hacer?Hay un parche nuevo para
|
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en Debido a que se trata de una vulnerabilidad a nivel del SO, GKE en AWS no es vulnerable. Detalles técnicos
El paquete Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink. Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz. ¿Qué debo hacer?Asegúrate de que la versión del SO en la que ejecutas clústeres de GKE en AWS se actualice a la última versión del SO que tiene un paqueterunc actualizado.
|
Ninguna |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Hace poco, la comunidad de seguridad divulgó una nueva vulnerabilidad de seguridad (CVE-2021-30465) que se encontró en Debido a que se trata de una vulnerabilidad a nivel del SO, GKE en Bare Metal no es vulnerable. Detalles técnicos
El paquete Para este ataque específico, un usuario puede aprovechar una condición de carrera iniciando múltiples pods en un solo nodo de manera simultánea, y todos comparten la misma activación de volumen con un symlink. Si el ataque se realiza correctamente, uno de los pods activará el sistema de archivos del nodo con permisos de raíz. ¿Qué debo hacer?
Asegúrate de que la versión del SO en la que ejecutas Google Distributed Cloud Virtual para Bare Metal sea
Se actualizó a la versión más reciente del SO que tiene un paquete |
Ninguna |
GCP-2021-006
Publicado: 2021-05-11Referencia: CVE-2021-31920
GKE
Descripción | Gravedad |
---|---|
Hace poco, el proyecto Istio divulgó una vulnerabilidad de seguridad nueva (CVE-2021-31920) que afecta a Istio. Istio contiene una vulnerabilidad que se puede exponer de forma remota, en la que una solicitud HTTP con varias barras o caracteres de barra de escape puede omitir la política de autorización de Istio cuando se usan reglas de autorización basadas en rutas. ¿Qué debo hacer?Te recomendamos que actualices y vuelvas a configurar los clústeres de GKE. Ten en cuenta que es importante completar los dos pasos que se indican a continuación para resolver la vulnerabilidad de forma correcta:
|
Alta |
GCP-2021-004
Fecha de publicación: 2021-05-06Referencia: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
Descripción | Gravedad |
---|---|
Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy. Los clústeres de GKE no ejecutan Istio de forma predeterminada y no son vulnerables. Si Istio se instaló en un clúster y se configuró para exponer servicios a Internet, esos servicios pueden ser vulnerables a la denegación del servicio. ¿Qué debo hacer?Para solucionar estas vulnerabilidades, actualiza tu plano de control de GKE a una de las siguientes versiones de parche:
|
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy. Los clústeres de GKE en VMware usan Envoy de forma predeterminada para el Ingress, por lo que los servicios de Ingress pueden ser vulnerables a la denegación del servicio. ¿Qué debo hacer?Para corregir estas vulnerabilidades, actualiza GKE en VMware a una de las siguientes opciones: con parche cuando se lanzan:
|
Media |
Clústeres de GKE en
Actualizado: 2021-05-06
Descripción | Gravedad |
---|---|
Recientemente, los proyectos de Istio y Envoy anunciaron varias vulnerabilidades nuevas de seguridad (CVE-2021-28683, CVE-2021-28682 y CVE-2021-29258), que podrían permitir a un atacante bloquear Envoy. Google Distributed Cloud Virtual para Bare Metal usa Envoy de forma predeterminada para Ingress, por lo que los servicios de Ingress pueden ser vulnerables a la denegación del servicio. ¿Qué debo hacer?Para corregir estas vulnerabilidades, actualiza tu clúster de Google Distributed Cloud Virtual para Bare Metal a uno de las siguientes versiones de parche una vez que se lanzan:
|
Media |
GCP-2021-003
Publicado: 2021-04-19Referencia: CVE-2021-25735
GKE
Descripción | Gravedad |
---|---|
El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación. En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto ¿Qué debo hacer?Para solucionar esta vulnerabilidad, actualiza tu clúster de GKE a una de las siguientes versiones con parche:
|
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación. En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto ¿Qué debo hacer?En una versión de parche próxima, se incluirá una mitigación para esta vulnerabilidad. |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación. En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto ¿Qué debo hacer?En una versión de parche próxima, se incluirá una mitigación para esta vulnerabilidad. |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
El proyecto de Kubernetes anunció recientemente una nueva vulnerabilidad de seguridad, CVE-2021-25735, que podría permitir que las actualizaciones del nodo omitan un webhook de admisión y validación. En una situación en la que un atacante tiene privilegios suficientes y en la que se implementa un webhook de admisión y validación que usa propiedades del objeto ¿Qué debo hacer?En una versión de parche próxima, se incluirá una mitigación para esta vulnerabilidad. |
Media |
GCP-2021-001
Publicado: 2021-01-28Referencia: CVE-2021-3156
GKE
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad en la utilidad Los clústeres de Google Kubernetes Engine (GKE) no se ven afectados por esta vulnerabilidad:
¿Qué debo hacer?Debido a que los clústeres de GKE no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción. GKE aplicará el parche para esta vulnerabilidad en una versión próxima con cadencia regular. |
Ninguna |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad en la utilidad GKE en VMware no se ve afectado por esta vulnerabilidad:
¿Qué debo hacer?Debido a que los clústeres de GKE alojados en VMware no se ven afectados por esta vulnerabilidad, ya no se requiere una acción. En una próxima actualización, se aplicará el parche para esta vulnerabilidad a GKE alojado en VMware con una frecuencia regular. |
Ninguna |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad en la utilidad GKE on AWS no se ve afectado por esta vulnerabilidad:
¿Qué debo hacer?Debido a que los clústeres de GKE en AWS no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción. GKE en AWS aplicará el parche para esta vulnerabilidad en una versión futura con cadencia regular. |
Ninguna |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Recientemente, se descubrió una vulnerabilidad en la utilidad Google Distributed Cloud Virtual para clústeres de Bare Metal no se ven afectados por esta vulnerabilidad:
¿Qué debo hacer?Como Google Distributed Cloud Virtual para clústeres de Bare Metal no se ven afectados por esta vulnerabilidad, ya no se requiere una acción. Google Distributed Cloud Virtual para Bare Metal tendrá aplicado el parche para esta vulnerabilidad en una próxima versión con una frecuencia regular. |
Ninguna |
GCP-2020-015
Publicado: 2020-12-07Actualizado: 2021-12-22
Referencia: CVE-2020-8554
Actualización del 22/12/2021: Usa gcloud beta
en lugar del comando gcloud
.
Actualización del 15/12/2021: Se agregó una mitigación adicional para GKE.
GKE
Descripción | Gravedad |
---|---|
Actualizado: 22-12-2021 El comando de GKE en la siguiente sección debe usar gcloud beta en lugar del comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Actualización: 15/12/2021 Para GKE, la siguiente mitigación ahora es disponibles:
Para obtener más información, consulta Endurece la seguridad del clúster. El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros pods del clúster. Esta vulnerabilidad por sí sola no otorga permisos a un atacante para crear un servicio de Kubernetes. Todos los clústeres de Google Kubernetes Engine (GKE) se ven afectados por esta vulnerabilidad. ¿Qué debo hacer?Es posible que Kubernetes deba realizar cambios de diseño incompatibles con versiones anteriores en una versión futura para solucionar la vulnerabilidad. Si muchos usuarios comparten el acceso a tu clúster con permisos para crear servicios, como en un clúster multiusuario, considera aplicar una mitigación mientras tanto. Por ahora, el mejor enfoque para la mitigación es restringir el uso de IP externas en un clúster. ExternalIPs no es una función de uso general. Restringe el uso de ExternalIPs en un clúster con uno de los siguientes métodos:
Como se mencionó en el anuncio de Kubernetes, no se proporciona ninguna mitigación para los servicios de tipo LoadBalancer, ya que, de forma predeterminada, solo se otorga a los usuarios y a los componentes del sistema con privilegios elevados el permiso |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Actualizado: 22-12-2021 El comando de GKE en la siguiente sección debe usar gcloud beta en lugar del comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Actualización: 15/12/2021 Para GKE, la siguiente mitigación ahora es disponibles:
Para obtener más información, consulta Endurece la seguridad del clúster. El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros pods del clúster. Esta vulnerabilidad por sí sola no otorga permisos a un atacante para crear un servicio de Kubernetes. Todo GKE en VMware se ve afectado por esta vulnerabilidad. ¿Qué debo hacer?Es posible que Kubernetes deba realizar cambios de diseño incompatibles con versiones anteriores en una versión futura para solucionar la vulnerabilidad. Si muchos usuarios comparten el acceso a tu clúster con permisos para crear servicios, como en un clúster multiusuario, considera aplicar una mitigación mientras tanto. Por ahora, el mejor enfoque para la mitigación es restringir el uso de IP externas en un clúster. ExternalIPs no es una función de uso general. Restringe el uso de ExternalIPs en un clúster con uno de los siguientes métodos:
Como se mencionó en el anuncio de Kubernetes, no se proporciona ninguna mitigación para los servicios de tipo LoadBalancer, ya que, de forma predeterminada, solo se otorga a los usuarios y a los componentes del sistema con privilegios elevados el permiso |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Actualizado: 22-12-2021 El comando de GKE en la siguiente sección debe usar gcloud beta en lugar del comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Actualización: 15/12/2021 Para GKE, la siguiente mitigación ahora es disponibles:
Para obtener más información, consulta Endurece la seguridad del clúster. El proyecto de Kubernetes descubrió recientemente una nueva vulnerabilidad de seguridad, CVE-2020-8554, que puede permitir que un atacante que haya obtenido permisos cree un servicio de Kubernetes de tipo LoadBalancer o ClusterIP para interceptar el tráfico de red que se origina desde otros pods del clúster. Esta vulnerabilidad por sí sola no otorga permisos a un atacante para crear un servicio de Kubernetes. Todo GKE en AWS se ve afectado por esta vulnerabilidad. ¿Qué debo hacer?Es posible que Kubernetes deba realizar cambios de diseño incompatibles con versiones anteriores en una versión futura para solucionar la vulnerabilidad. Si muchos usuarios comparten el acceso a tu clúster con permisos para crear servicios, como en un clúster multiusuario, considera aplicar una mitigación mientras tanto. Por ahora, el mejor enfoque para la mitigación es restringir el uso de IP externas en un clúster. ExternalIPs no es una función de uso general. Restringe el uso de ExternalIPs en un clúster con uno de los siguientes métodos:
Como se mencionó en el anuncio de Kubernetes, no se proporciona ninguna mitigación para los servicios de tipo LoadBalancer, ya que, de forma predeterminada, solo se otorga a los usuarios y a los componentes del sistema con privilegios elevados el permiso |
Media |
GCP-2020-014
Publicado: 2020-10-20Referencia: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Actualizado: 2020-10-20
Descripción | Gravedad |
---|---|
Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:
GKE no se ve afectado. ¿Qué debo hacer?No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE. |
Ninguna |
Clústeres de GKE en
Actualizado: 2020-10-10
Descripción | Gravedad |
---|---|
Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:
GKE en VMware no se ve afectado. ¿Qué debo hacer?No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE. |
Ninguna |
Clústeres de GKE en
Actualizado: 2020-10-20
Descripción | Gravedad |
---|---|
Hace poco, el proyecto de Kubernetes descubrió varios problemas que permiten la exposición de datos secretos cuando las opciones de registro detallado están habilitadas. Estos son los problemas:
GKE en AWS no se ve afectado. ¿Qué debo hacer?No es necesario que realices ninguna otra acción debido a los niveles de registro detallado predeterminados de GKE. |
Ninguna |
GCP-2020-012
Publicado: 2020-09-14Referencia: CVE-2020-14386
GKE
Descripción | Gravedad |
---|---|
Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor. Afecta a todos los nodos de GKE. Los Pods que se ejecutan en GKE Sandbox no pueden aprovechar esta vulnerabilidad. ¿Qué debo hacer?Para mitigar esta vulnerabilidad, actualiza el plano de control y, luego, los nodos a una de las versiones con el parche que se mencionan a continuación:
Para aprovechar esta vulnerabilidad, se requiere
Quita la capacidad
¿Qué vulnerabilidad trata este parche?Este parche mitiga la siguiente vulnerabilidad: La vulnerabilidad CVE-2020-14386, que permite que los contenedores con |
Alta |
Clústeres de GKE en
Actualizado: 2020-09-17
Descripción | Gravedad |
---|---|
Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor. Todos los nodos de GKE en VMware se ven afectados. ¿Qué debo hacer?Para corregir esta vulnerabilidad, actualiza el clúster a una versión de parche. Las siguientes versiones de {gke_on_prem_name}} contendrán la corrección para esta vulnerabilidad, y este boletín se actualizará cuando estén disponibles:
Para aprovechar esta vulnerabilidad, se requiere
Quita la capacidad
¿Qué vulnerabilidad trata este parche?Este parche mitiga la siguiente vulnerabilidad: La vulnerabilidad CVE-2020-14386, que permite que los contenedores con |
Alta |
Clústeres de GKE en
Actualizado: 2020-10-13
Descripción | Gravedad |
---|---|
Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-14386, que puede permitir obtener privilegios raíz en el nodo host mediante el escape del contenedor. Todos los nodos de GKE on AWS se ven afectados. ¿Qué debo hacer?Para corregir esta vulnerabilidad, actualiza tu servicio de administración y tus clústeres de usuario a una versión con parche. Las próximas versiones de GKE en AWS o versiones más recientes incluirán la corrección de esta vulnerabilidad, y este boletín se actualizará cuando estén disponibles:
Quita la capacidad
¿Qué vulnerabilidad trata este parche?Este parche mitiga la siguiente vulnerabilidad: La vulnerabilidad CVE-2020-14386, que permite que los contenedores con |
Alta |
GCP-2020-011
Publicado: 2020-07-24Referencia: CVE-2020-8558
GKE
Descripción | Gravedad |
---|---|
Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod. A fin de aprovechar esta vulnerabilidad en los clústeres de GKE, se requiere que un atacante tenga privilegios de administrador de red en el hosting de Google Cloud que aloja la VPC del clúster. Esta vulnerabilidad por sí sola no otorga privilegios de administrador de red a los atacantes. Por esta razón, a esta vulnerabilidad se le asignó una gravedad baja para GKE. ¿Qué debo hacer?Para solucionar esta vulnerabilidad, actualiza los grupos de nodos del clúster a las siguientes versiones de GKE (y versiones posteriores):
¿Qué vulnerabilidad trata este parche?Este parche corrige la siguiente vulnerabilidad: CVE-2020-8558. |
Baja |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod. ¿Qué debo hacer?Para corregir esta vulnerabilidad, actualiza el clúster a una versión de parche. En las siguientes versiones o en otras más recientes de GKE en VMware, se incluye la solución para esta vulnerabilidad:
¿Qué vulnerabilidad trata este parche?Este parche corrige la siguiente vulnerabilidad: CVE-2020-8558. |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Se detectó hace poco una vulnerabilidad en las herramientas de redes, CVE-2020-8558, en Kubernetes. A veces, los servicios se comunican con otras aplicaciones que se ejecutan dentro del mismo Pod mediante la interfaz de bucle invertido local (127.0.0.1). Esta vulnerabilidad permite que un atacante con acceso a la red del clúster envíe tráfico a la interfaz de bucle invertido de Pods y nodos adyacentes. Podrían aprovecharse los servicios que dependen de que no se pueda acceder a la interfaz de bucle invertido fuera del Pod. A fin de aprovechar esta vulnerabilidad en los clústeres de usuario, se requiere que un atacante inhabilite las verificaciones de destino de origen en las instancias de EC2 en el clúster. El atacante debería tener permisos de IAM de AWS para ¿Qué debo hacer?Para corregir esta vulnerabilidad, actualiza el clúster a una versión de parche. Se espera que las próximas versiones de GKE on AWS o las versiones posteriores incluyan la corrección para esta vulnerabilidad:
¿Qué vulnerabilidad trata este parche?Este parche corrige la siguiente vulnerabilidad: CVE-2020-8558. |
Baja |
GCP-2020-009
Publicado: 2020-07-15Referencia: CVE-2020-8559
GKE
Descripción | Gravedad |
---|---|
En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas. Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster. ¿Qué debo hacer?Actualiza el clúster a una versión con parche. Los clústeres se actualizarán de forma automática durante las próximas semanas, y las versiones con parche estarán disponibles a partir del 19 de julio de 2020 para una programación de actualizaciones manuales acelerada. Las siguientes versiones del plano de control de GKE o versiones posteriores contienen la corrección para esta vulnerabilidad:
¿Qué vulnerabilidad trata este parche?Estos parches mitigan la vulnerabilidad CVE-2020-8559. Esta se considera una vulnerabilidad de nivel medio para GKE, ya que requiere que el atacante tenga información de primera mano sobre el clúster, los nodos y las cargas de trabajo para aprovechar este ataque de manera efectiva, además de un nodo existente ya comprometido. Esta vulnerabilidad no le proporcionará un nodo comprometido a un atacante. |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas. Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster. ¿Qué debo hacer?Actualiza tu clúster a una versión con parche. En las siguientes versiones o en otras más recientes de GKE en VMware, se incluye la solución para esta vulnerabilidad:
¿Qué vulnerabilidad trata este parche?Estos parches mitigan la vulnerabilidad CVE-2020-8559. Esta se considera una vulnerabilidad de nivel medio para GKE, ya que requiere que el atacante tenga información de primera mano sobre el clúster, los nodos y las cargas de trabajo para aprovechar este ataque de manera efectiva, además de un nodo existente ya comprometido. Esta vulnerabilidad no le proporcionará un nodo comprometido a un atacante. |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
En la actualidad, se descubrió una vulnerabilidad de elevación de privilegios, CVE-2020-8559, en Kubernetes. Esta vulnerabilidad permite que un atacante que ya haya comprometido un nodo pueda ejecutar un comando en cualquier Pod del clúster. Por lo tanto, existe la posibilidad de que el atacante use el nodo ya comprometido para comprometer otros nodos y poder leer información o causar acciones destructivas. Ten en cuenta que, para que un atacante pueda aprovechar esta vulnerabilidad, un nodo del clúster ya debe estar comprometido. Esta vulnerabilidad, por sí sola, no comprometerá ningún nodo del clúster. ¿Qué debo hacer?La versión de GKE on AWS de disponibilidad general (1.4.1, disponible a fines de julio de 2020), o versiones posteriores, incluye el parche para esta vulnerabilidad. Si usas una versión anterior, descarga una versión nueva de la herramienta de línea de comandos de anthos-gke y vuelve a crear los clústeres de administrador y de usuario. ¿Qué vulnerabilidad trata este parche?Estos parches mitigan la vulnerabilidad CVE-2020-8559. Esta se considera una vulnerabilidad de nivel medio para GKE, ya que requiere que el atacante tenga información de primera mano sobre el clúster, los nodos y las cargas de trabajo para aprovechar este ataque de manera efectiva, además de un nodo existente ya comprometido. Esta vulnerabilidad no le proporcionará un nodo comprometido a un atacante. |
Media |
GCP-2020-007
Publicado: 2020-06-01Referencia: CVE-2020-8555
GKE
Descripción | Gravedad |
---|---|
Recientemente, se descubrió la vulnerabilidad de falsificación de solicitudes del servidor (SSRF) CVE-2020-8555 en Kubernetes, que permitió a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red host del plano de control. En el plano de control de Google Kubernetes Engine (GKE), se usan controladores de Kubernetes a los que afecta esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche, como se muestra a continuación. No requiere actualizar los nodos. ¿Qué debo hacer?La mayoría de los clientes no debe realizar ninguna acción adicional. En la gran mayoría de los clústeres ya se está ejecutando la versión con el parche. Las siguientes versiones de GKE o las posteriores a ellas incluyen la corrección para esta vulnerabilidad:
Los clústeres que usan canales de versiones ya están en las versiones del plano de control que tiene la mitigación. ¿Qué vulnerabilidad corrige este parche?Estos parches mitigan la vulnerabilidad CVE-2020-8555. Esta tiene una calificación de vulnerabilidad media para GKE, ya que fue difícil aprovecharla debido a las medidas de endurecimiento del plano de control. Un atacante con permisos para crear un Pod con ciertos tipos de volúmenes incluidos (GlusterFS, Quobyte, StorageFS, ScaleIO) o con permisos para crear un StorageClass puede hacer que Combinados con un medio para que el atacante reciba los resultados filtrados del |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Recientemente, se descubrió la vulnerabilidad de falsificación de solicitudes del servidor (SSRF) CVE-2020-8555 en Kubernetes, que permitió a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red host del plano de control. En el plano de control de Google Kubernetes Engine (GKE), se usan controladores de Kubernetes a los que afecta esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche, como se detalla a continuación. No requiere actualizar los nodos. ¿Qué debo hacer?En las siguientes versiones o en otras más recientes de GKE en VMware , se incluye la solución para esta vulnerabilidad:
Si usas una versión anterior, actualiza el clúster existente a una versión en la que se incluya la solución. ¿Qué vulnerabilidad trata este parche?Estos parches mitigan la vulnerabilidad CVE-2020-8555. Esta tiene una calificación de vulnerabilidad media para GKE, ya que fue difícil aprovecharla debido a las medidas de endurecimiento del plano de control. Un atacante con permisos para crear un Pod con ciertos tipos de volúmenes incluidos (GlusterFS, Quobyte, StorageFS, ScaleIO) o con permisos para crear un StorageClass puede hacer que Combinados con un medio para que el atacante reciba los resultados filtrados del |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Recientemente, se descubrió la vulnerabilidad de falsificación de solicitudes del servidor (SSRF) CVE-2020-8555 en Kubernetes, que permitió a ciertos usuarios autorizados filtrar hasta 500 bytes de información sensible desde la red host del plano de control. En el plano de control de Google Kubernetes Engine (GKE), se usan controladores de Kubernetes a los que afecta esta vulnerabilidad. Te recomendamos actualizar el plano de control a la versión más reciente del parche, como se detalla a continuación. No requiere actualizar los nodos. ¿Qué debo hacer?GKE on AWS v0.2.0 o posterior ya incluye el parche para esta vulnerabilidad. Si usas una versión anterior, descarga una versión nueva de la herramienta de línea de comandos de anthos-gke y vuelve a crear los clústeres de administrador y de usuario. ¿Qué vulnerabilidad corrige este parche?Estos parches mitigan la vulnerabilidad CVE-2020-8555. Esta tiene una calificación de vulnerabilidad media para GKE, ya que fue difícil aprovecharla debido a las medidas de endurecimiento del plano de control. Un atacante con permisos para crear un Pod con ciertos tipos de volúmenes incluidos (GlusterFS, Quobyte, StorageFS, ScaleIO) o con permisos para crear un StorageClass puede hacer que Combinados con un medio para que el atacante reciba los resultados filtrados del |
Media |
GCP-2020-006
Publicado: 2020-06-01Referencia: Kubernetes issue 91507
GKE
Descripción | Gravedad |
---|---|
Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodo a otro contenedor. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como aquel entre el kubelet y el servidor de la API, o el tráfico desde aplicaciones mediante mTLS. Todos los nodos de Google Kubernetes Engine (GKE) afectados por esta vulnerabilidad, por lo que te recomendamos actualizar a la última versión del parche, como se muestra a continuación. ¿Qué debo hacer?Para mitigar esta vulnerabilidad, actualiza tu plano de control y, luego, tus nodos a una de las versiones con el parche que se mencionan a continuación. Los clústeres en los canales de versiones ya ejecutan una versión con el parche en el plano de control y los nodos:
Por lo general, muy pocos contenedores requieren
Quita la capacidad
¿Qué vulnerabilidad trata este parche?El parche mitiga la siguiente vulnerabilidad: La vulnerabilidad descrita en el problema 91507 de Kubernetes: la capacidad |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodo a otro contenedor. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como aquel entre el kubelet y el servidor de la API, o el tráfico desde aplicaciones mediante mTLS. Todos los nodos de Google Kubernetes Engine (GKE) afectados por esta vulnerabilidad, por lo que te recomendamos actualizar a la última versión del parche, como se muestra a continuación. ¿Qué debo hacer?Para mitigar esta vulnerabilidad en GKE en VMware, actualiza los clústeres a la siguiente versión o a una más reciente:
Por lo general, muy pocos contenedores requieren
Quita la capacidad
¿Qué vulnerabilidad trata este parche?El parche mitiga la siguiente vulnerabilidad: La vulnerabilidad descrita en el problema 91507 de Kubernetes: la capacidad |
Media |
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Kubernetes divulgó una vulnerabilidad que permite que un contenedor con privilegios redireccione el tráfico de nodo a otro contenedor. El ataque no permite leer ni modificar el tráfico mutuo de TLS/SSH, como aquel entre el kubelet y el servidor de la API, o el tráfico desde aplicaciones mediante mTLS. Todos los nodos de Google Kubernetes Engine (GKE) afectados por esta vulnerabilidad, por lo que te recomendamos actualizar a la última versión del parche, como se muestra a continuación. ¿Qué debo hacer?Descarga la herramienta de línea de comandos de anthos-gke con la siguiente versión o una más reciente y vuelve a crear los clústeres de administrador y de usuario:
Por lo general, muy pocos contenedores requieren
Quita la capacidad
¿Qué vulnerabilidad trata este parche?El parche mitiga la siguiente vulnerabilidad: La vulnerabilidad descrita en el problema 91507 de Kubernetes: la capacidad |
Media |
GCP‑2020‑005
Publicado: 2020-05-07Actualizado: 2020-05-07
Referencia: CVE-2020-8835
GKE
Descripción | Gravedad |
---|---|
Hace poco, se descubrió una vulnerabilidad en el kernel de Linux, descrita en CVE-2020-8835, que permite obtener privilegios de administrador en el nodo host mediante un escape de contenedor. Esta vulnerabilidad afecta a los nodos de Google Kubernetes Engine (GKE) de Ubuntu que se ejecutan en GKE 1.16 o 1.17, por lo que te recomendamos actualizar a la versión de parche más reciente lo antes posible, como se muestra a continuación. Los nodos que ejecutan Container-Optimized OS no se ven afectados. Los nodos que se ejecutan en GKE en VMware tampoco se ven afectados. ¿Qué debo hacer?La mayoría de los clientes no debe realizar ninguna acción adicional. Solo se ven afectados los nodos que ejecutan Ubuntu en la versión 1.16 o 1.17 de GKE. Para poder actualizar los nodos, primero debes actualizar la instancia principal a la versión más reciente. Este parche estará disponible en Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 y en versiones más recientes. Haz un seguimiento de la disponibilidad de estos parches en las notas de la versión. ¿Qué vulnerabilidad trata este parche?Este parche mitiga la siguiente vulnerabilidad: CVE-2020-8835 es una vulnerabilidad en la versión 5.5.0 y posteriores del kernel de Linux que permite que un contenedor malicioso (con una interacción mínima del usuario mediante un ejecutable) lea y escriba en la memoria del kernel para lograr la ejecución de código con permisos de administrador en el nodo host. Esta vulnerabilidad de seguridad tiene una calificación de gravedad alta. |
Alta |
GCP-2020-004
Publicado: 2020-05-07Actualizado: 2020-05-07
Referencia: CVE-2019-11254
Clústeres de GKE en
Descripción | Gravedad |
---|---|
Hace poco, se descubrió una vulnerabilidad en Kubernetes, descrita en CVE-2019-11254, que permite que cualquier usuario con autorización para realizar solicitudes POST ejecute un ataque de denegación del servicio de forma remota en un servidor de la API de Kubernetes. El Comité de seguridad de productos (PSC) de Kubernetes publicó información adicional sobre esta vulnerabilidad, que puedes encontrar aquí. Puedes mitigar esta vulnerabilidad si limitas los clientes que tienen acceso a la red de los servidores de la API de Kubernetes. ¿Qué debo hacer?Te recomendamos actualizar los clústeres a versiones del parche en las que se incluya la solución para esta vulnerabilidad en cuanto estén disponibles. Estas son las versiones de parche que incluyen la corrección:
¿Qué vulnerabilidades trata este parche?El parche corrige la siguiente vulnerabilidad de denegación del servicio (DoS): |
Media |
GCP‑2020‑003
Publicado: 2020-03-31Actualizado: 2020-03-31
Referencia: CVE-2019-11254
GKE
Descripción | Gravedad |
---|---|
Hace poco, se descubrió una vulnerabilidad en Kubernetes, descrita en CVE-2019-11254, que permite que cualquier usuario con autorización para realizar solicitudes POST ejecute un ataque de denegación del servicio de forma remota en un servidor de la API de Kubernetes. El Comité de seguridad de productos (PSC) de Kubernetes publicó información adicional sobre esta vulnerabilidad, que puedes encontrar aquí. Los clústeres de GKE que usan redes autorizadas para instancias principales y clústeres privados sin extremo público mitigan esta vulnerabilidad. ¿Qué debo hacer?Te recomendamos que actualices el clúster a una versión de parche que incluya la corrección para esta vulnerabilidad. Estas son las versiones de parche que incluyen la corrección:
¿Qué vulnerabilidades trata este parche?El parche corrige la siguiente vulnerabilidad de denegación del servicio (DoS): |
Media |
GCP‑2020‑002
Fecha de publicación: 23/03/2020Última actualización: 23 de marzo de 2020
Referencia: CVE-2020-8551, CVE-2020-8552
GKE
Descripción | Gravedad |
---|---|
Kubernetes divulgó dos vulnerabilidades de denegación del servicio: una que afecta al servidor de la API y otra que afecta a Kubelets. Para conocer más detalles, consulta los problemas de Kubernetes 89377 y 89378. ¿Qué debo hacer?Todos los usuarios de GKE están protegidos contra la vulnerabilidad CVE‑2020‑8551, excepto en los casos en que se permita que usuarios no confiables puedan enviar solicitudes en la red interna del clúster. El uso de redes autorizadas para instancias principales también brinda protección contra la vulnerabilidad CVE‑2020‑8552. ¿Cuándo se aplicarán parches para corregir estas vulnerabilidades?Los parches para CVE‑2020‑8551 requieren actualizar los nodos. Estas son las versiones de parche que incluirán la mitigación:
Los parches para CVE‑2020‑8552 requieren actualizar las instancias principales. Estas son las versiones de parche que incluirán la mitigación:
|
Media |
GCP-january_21_2020
Publicado: 2020-01-21Actualizado: 2020-01-24
Referencia: CVE-2019-11254
GKE
Descripción | Gravedad |
---|---|
Actualización del 24/01/2020: El proceso para que las versiones con parche estén disponibles ya se está llevando a cabo y se completará el 25 de enero de 2020. Microsoft divulgó una vulnerabilidad en la API de Windows Crypto y la validación de las firmas de curva elíptica. Si deseas obtener más información, puedes consultar el aviso de Microsoft al respecto. ¿Qué debo hacer? La mayoría de los clientes no debe realizar ninguna acción adicional. Solo los nodos que se ejecutan en Windows Server se ven afectados. Para mitigar la vulnerabilidad, los clientes que usan nodos en Windows Server deben actualizar los nodos y las cargas de trabajo en contenedores que se ejecutan en esos nodos a las versiones con parche. Para actualizar los contenedores, sigue estos pasos: Vuelve a compilar tus contenedores con las imágenes base de contenedor de Microsoft más actuales. Para ello, debes seleccionar una etiqueta servercore o nanoserver cuya última fecha de actualización sea el 14/01/2020 o posterior. Actualización de nodos: El proceso para que las versiones de parche estén disponibles ya se está llevando a cabo y se completará el 24 de enero de 2020. Puedes esperar hasta esa fecha y actualizar el nodo a una versión de GKE con parche o puedes usar Windows Update en cualquier momento para implementar el último parche de Windows de forma manual. Estas son las versiones con parche que contendrán la mitigación:
¿Qué vulnerabilidades corrige este parche? Este parche mitiga las siguientes vulnerabilidades: CVE‑2020‑0601: Esta vulnerabilidad también se conoce como la Windows Crypto API Spoofing Vulnerability (Vulnerabilidad de falsificación de identidad de la API de Windows Crypto) y se puede usar para que los archivos ejecutables maliciosos parezcan confiables o a fin de permitir que el atacante realice ataques de intermediario y desencripte información confidencial sobre las conexiones TLS del software afectado. |
Puntuación base de la NVD: 8.1 (alta) |
Boletines de seguridad archivados
Para ver boletines de seguridad anteriores a 2020, consulta Archivo de boletines de seguridad.