Sicherheitsbulletins

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen, für die jedoch keine Patchversion verfügbar ist. Wir aktualisieren dieses Bulletin, sobald Patchversionen verfügbar sind:

• 1.26
• 1,27

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE verwendet keine angreifbare Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on VMware verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on VMware ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on AWS verwendet keine angreifbare Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on AWS ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on Azure verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on Azure ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Ausführung von Code führen könnte. Betroffen sind die Fluent-Bit-Versionen 2.0.7 bis 3.0.3.

GKE on Bare Metal verwendet keine angreifbare Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22. Mai 2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Aktualisierung vom 09.05.2024: Schweregrad von „Mittel“ zu „Hoch“ korrigiert. Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 15.05.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke auf Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Aktualisierung vom 09.05.2024:Der Schweregrad wurde von „Mittel“ zu „Hoch“ geändert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

GKE Autopilot- und Standardcluster sind betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 24. April 2024:Patchversionen für GKE wurden hinzugefügt.

Die folgenden GKE-Versionen enthalten die Golang-Sicherheitspatches, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GKE-Cluster auf die folgenden Versionen oder höher durch:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald GKE-Versionen mit diesen Patches verfügbar sind. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Konfigurieren Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene, um das Risiko zu minimieren:

Sie können Ihre Cluster vor dieser Angriffsklasse abwehren, indem Sie autorisierte Netzwerke konfigurieren. Folgen Sie der Anleitung zum Aktivieren autorisierter Netzwerke für einen vorhandenen Cluster.

Weitere Informationen dazu, wie autorisierte Netzwerke den Zugriff auf die Steuerungsebene steuern, finden Sie unter Funktionsweise autorisierter Netzwerke. Den standardmäßigen autorisierten Netzwerkzugriff finden Sie in der Tabelle im Abschnitt Zugriff auf Endpunkte der Steuerungsebene.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on VMware-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on AWS-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald GKE on Azure-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Wie gehe ich am besten vor?

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Dieses Bulletin wird aktualisiert, sobald Versionen für GKE on Bare Metal verfügbar sind, die diese Patches enthalten. Wenn Sie ein Patch mit einem beschleunigten Zeitplan anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 06.05.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Update vom 04.04.2024: Korrigierte Mindestversionen für GKE-Knotenpools mit Container-Optimized OS.

Die GKE-Mindestversionen mit den zuvor aufgeführten Fehlerkorrekturen für Container-Optimized OS waren falsch. Die folgenden GKE-Versionen werden mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu beheben. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf die folgenden Versionen oder höher durch:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Update vom 17.04.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:

• 1.28.200
• 1.16.6
• 1.15.10

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE-Standardcluster, auf denen Windows Server-Knoten ausgeführt werden und die ein integriertes Speicher-Plug-in verwenden, können betroffen sein.

GKE Autopilot-Cluster und GKE-Knotenpools, die GKE Sandbox verwenden, sind nicht betroffen, da sie keine Windows Server-Knoten unterstützen.

Wie gehe ich am besten vor?

Prüfen Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie Audit-Logs auf Ausnutzungsnachweise. Kubernetes-Audit-Logs können geprüft werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wurde. Ereignisse zur Erstellung von nichtflüchtigen Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starker Hinweis auf Ausnutzung.

Aktualisieren Sie den GKE-Cluster und die Knotenpools auf eine Patchversion. Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir, den Cluster und die Windows Server-Knotenpools manuell auf eine der folgenden GKE-Versionen oder höher zu aktualisieren:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on VMware-Cluster, auf denen Windows Server-Knoten ausgeführt werden und die ein integriertes Speicher-Plug-in verwenden, können betroffen sein.

Wie gehe ich am besten vor?

Prüfen Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie Audit-Logs auf Ausnutzungsnachweise. Kubernetes-Audit-Logs können geprüft werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wurde. Ereignisse zur Erstellung von nichtflüchtigen Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starker Hinweis auf Ausnutzung.

Aktualisieren Sie Ihre GKE on VMware-Cluster und -Knotenpools auf eine Patchversion. Die folgenden Versionen von GKE on VMware wurden aktualisiert, um diese Sicherheitslücke zu beheben. Auch wenn Sie automatische Knotenupgrades aktiviert haben, empfehlen wir, den Cluster und die Windows Server-Knotenpools manuell auf eine der folgenden GKE on VMware-Versionen oder höher zu aktualisieren:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on AWS-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on Azure-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten so zu erstellen, dass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on Bare Metal-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

Eine Sicherheitslücke, CVE-2024-21626, wurde in runc entdeckt. Über diese Sicherheitslücke kann ein Nutzer mit der Berechtigung zum Erstellen von Pods auf Knoten des Container-Optimized OS und Ubuntu vollständigen Zugriff auf das Knotendateisystem erhalten.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 28.02.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Update vom 15.02.2024: Aufgrund eines Problems können die folgenden Ubuntu-Patchversionen vom Update vom 14.02.2024 dazu führen, dass Ihre Knoten in einen fehlerhaften Zustand versetzt werden. Führen Sie kein Upgrade auf die folgenden Patchversionen durch. Dieses Bulletin wird aktualisiert, sobald für 1.25 und 1.26 neuere Patchversionen für Ubuntu verfügbar sind.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Wenn Sie bereits ein Upgrade auf eine dieser Patchversionen durchgeführt haben, führen Sie für den Knotenpool ein manuelles Downgrade auf eine frühere Version in der Release-Version aus.

Update vom 14.02.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie für Ihre Ubuntu-Knotenpools ein Upgrade auf eine der folgenden Patchversionen oder höher durch:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Update vom 06.02.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie automatische Knotenupgrades aktiviert haben, die Cluster- und Container-Optimized OS-Knotenpools manuell auf eine der folgenden GKE-Versionen oder höher zu aktualisieren:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Wir aktualisieren GKE mit Code, um diese Sicherheitslücke zu beheben. Wir aktualisieren dieses Bulletin, sobald Patchversionen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden mehrere Dateideskriptoren versehentlich in den runc init-Prozess übertragen, der in einem Container ausgeführt wird. Außerdem hat runc nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befand. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung zum Ausführen beliebiger Pods könnte eine Kombination aus gehackten Dateideskriptoren und fehlender Validierung des Arbeitsverzeichnisses verwenden, um Zugriff auf den Host-Bereitstellungs-Namespace eines Knotens und auf das gesamte Hostdateisystem zu erhalten und beliebige Binärdateien auf dem Knoten zu überschreiben.

Eine Sicherheitslücke, CVE-2024-21626, wurde in runc entdeckt. Über diese Sicherheitslücke kann ein Nutzer mit der Berechtigung zum Erstellen von Pods auf Knoten des Container-Optimized OS und Ubuntu vollständigen Zugriff auf das Knotendateisystem erhalten.

Wie gehe ich am besten vor?

Update vom 06.03.2024: Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:

• 1.28.200
• 1.16.6
• 1.15.9

Patchversionen und eine Bewertung des Schweregrads für GKE on VMware sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden mehrere Dateideskriptoren versehentlich in den runc init-Prozess übertragen, der in einem Container ausgeführt wird. Außerdem hat runc nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befand. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung zum Ausführen beliebiger Pods könnte eine Kombination aus gehackten Dateideskriptoren und fehlender Validierung des Arbeitsverzeichnisses verwenden, um Zugriff auf den Host-Bereitstellungs-Namespace eines Knotens und auf das gesamte Hostdateisystem zu erhalten und beliebige Binärdateien auf dem Knoten zu überschreiben.

Eine Sicherheitslücke, CVE-2024-21626, wurde in runc entdeckt. Über diese Sicherheitslücke kann ein Nutzer mit der Berechtigung zum Erstellen von Pods auf Knoten des Container-Optimized OS und Ubuntu vollständigen Zugriff auf das Knotendateisystem erhalten.

Wie gehe ich am besten vor?

Update vom 06.05.2024: Die folgenden Versionen von GKE on AWS wurden mit Patches für CVE-2024-21626 aktualisiert:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Patchversionen und eine Bewertung des Schweregrads für GKE on AWS sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden mehrere Dateideskriptoren versehentlich in den runc init-Prozess übertragen, der in einem Container ausgeführt wird. Außerdem hat runc nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befand. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung zum Ausführen beliebiger Pods könnte eine Kombination aus gehackten Dateideskriptoren und fehlender Validierung des Arbeitsverzeichnisses verwenden, um Zugriff auf den Host-Bereitstellungs-Namespace eines Knotens und auf das gesamte Hostdateisystem zu erhalten und beliebige Binärdateien auf dem Knoten zu überschreiben.

Eine Sicherheitslücke, CVE-2024-21626, wurde in runc entdeckt. Über diese Sicherheitslücke kann ein Nutzer mit der Berechtigung zum Erstellen von Pods auf Knoten des Container-Optimized OS und Ubuntu vollständigen Zugriff auf das Knotendateisystem erhalten.

Wie gehe ich am besten vor?

Update vom 06.05.2024: Die folgenden Versionen von GKE on Azure wurden mit Patches für CVE-2024-21626 aktualisiert:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Patchversionen und eine Bewertung des Schweregrads für GKE on Azure sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden mehrere Dateideskriptoren versehentlich in den runc init-Prozess übertragen, der in einem Container ausgeführt wird. Außerdem hat runc nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befand. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung zum Ausführen beliebiger Pods könnte eine Kombination aus gehackten Dateideskriptoren und fehlender Validierung des Arbeitsverzeichnisses verwenden, um Zugriff auf den Host-Bereitstellungs-Namespace eines Knotens und auf das gesamte Hostdateisystem zu erhalten und beliebige Binärdateien auf dem Knoten zu überschreiben.

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt. Dabei wurde ein Nutzer mit der Berechtigung zum Erstellen von Pods möglicherweise vollen Zugriff auf das Knotendateisystem erhalten.

Wie gehe ich am besten vor?

Aktualisierung vom 02.04.2024: Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Patchversionen und eine Bewertung des Schweregrads für GKE on Bare Metal sind in Bearbeitung. Wir aktualisieren dieses Bulletin mit diesen Informationen, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Erstellen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden mehrere Dateideskriptoren versehentlich in den runc init-Prozess übertragen, der in einem Container ausgeführt wird. Außerdem hat runc nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befand. Ein schädliches Container-Image oder ein Nutzer mit der Berechtigung zum Ausführen beliebiger Pods könnte eine Kombination aus gehackten Dateideskriptoren und fehlender Validierung des Arbeitsverzeichnisses verwenden, um Zugriff auf den Host-Bereitstellungs-Namespace eines Knotens und auf das gesamte Hostdateisystem zu erhalten und beliebige Binärdateien auf dem Knoten zu überschreiben.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 07.02.2024:Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Update vom 26.01.2024: Sicherheitsstudien, die eine kleine Anzahl von GKE-Clustern mit einer vom Kunden erstellten Fehlkonfiguration unter Einbeziehung der Gruppe system:authenticated gefunden haben, wurden jetzt veröffentlicht. Der Blogpost des Forschers bezieht sich auf 1.300 Cluster mit einigen falsch konfigurierten Bindungen und 108 Cluster mit hohen Berechtigungen. Wir haben eng mit den betroffenen Kunden zusammengearbeitet, um sie zu benachrichtigen und beim Entfernen der falsch konfigurierten Bindungen zu unterstützen.

Es wurden mehrere Cluster identifiziert, in denen Nutzer der Gruppe system:authenticated, zu der alle Nutzer mit einem Google-Konto gehören, Kubernetes-Berechtigungen erteilt haben. Diese Arten von Bindungen werden nicht empfohlen, da sie gegen das Prinzip der geringsten Berechtigung verstoßen und sehr großen Nutzergruppen Zugriff gewähren. Wie Sie solche Bindungen finden, erfahren Sie unter „Was sollte ich tun?“.

Kürzlich hat ein Sicherheitsforscher über unser Programm zur Meldung von Sicherheitslücken Berichte zu Clustern mit RBAC-Fehlkonfigurationen gemeldet.

Mit dem Authentifizierungsansatz von Google soll die Authentifizierung bei Google Cloud und GKE so einfach und sicher wie möglich gestaltet werden, ohne dass komplexe Konfigurationsschritte hinzugefügt werden müssen. Bei der Authentifizierung wird nur angegeben, wer der Nutzer ist. Bei der Autorisierung wird der Zugriff bestimmt. Daher funktioniert die Gruppe system:authenticated in GKE, die alle Nutzer enthält, die über den Identitätsanbieter von Google authentifiziert wurden, wie vorgesehen und genauso wie die IAM-ID „allAuthenticatedUsers“.

Vor diesem Hintergrund haben wir verschiedene Schritte unternommen, um das Risiko von Autorisierungsfehlern bei in Kubernetes integrierten Nutzern und Gruppen wie system:anonymous, system:authenticated und system:unauthenticated zu verringern. Alle diese Nutzer/Gruppen stellen ein Risiko für den Cluster dar, wenn Berechtigungen gewährt werden. Wir haben einige der Angreiferaktivitäten besprochen, die auf RBAC-Fehlkonfigurationen und verfügbare Abwehrmaßnahmen abzielen, die im November 2023 bei Kubecon abgewehrt wurden.

Um Nutzer vor versehentlichen Autorisierungsfehlern bei diesen Systemnutzern/-gruppen zu schützen, haben wir Folgendes getan:

• In GKE-Version 1.28 wurden neue Bindungen der hochprivilegierten ClusterRole cluster-admin für Nutzer system:anonymous, Gruppe system:authenticated oder Gruppe system:unauthenticated standardmäßig blockiert.
• Erstellung von Erkennungsregeln in Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) als Teil von Security Command Center.
• Konfigurierbare Präventionsregeln in Policy Controller mit K8sRestrictRoleBindings integriert.
• Es wurden E-Mail-Benachrichtigungen an alle GKE-Nutzer mit Bindungen an diese Nutzer/Gruppen gesendet, in denen sie aufgefordert wurden, ihre Konfiguration zu prüfen.
• Es wurden Funktionen zur Netzwerkautorisierung erstellt und Empfehlungen gegeben, um den Netzwerkzugriff als erste Verteidigungsebene auf Cluster zu beschränken.
• Aufmerksamkeit durch einen Vortrag bei Kubecon im November 2023 auf dieses Problem.

Cluster, für die Einschränkungen für autorisierte Netzwerke gelten, haben eine erste Schutzschicht: Sie können nicht direkt aus dem Internet angegriffen werden. Dennoch empfehlen wir, diese Bindungen zu entfernen, um einen tieferen Schutz zu gewährleisten und Fehler in der Netzwerksteuerung zu vermeiden.
Es gibt eine Reihe von Fällen, in denen Bindungen an Kubernetes-Systemnutzer oder -Gruppen absichtlich verwendet werden, z.B. für kubeadm-Bootstrapping, das Rancher-Dashboard und versiegelte Bitnami-Secrets. Wir haben mit diesen Softwareanbietern bestätigt, dass diese Bindungen wie vorgesehen funktionieren.

Wir untersuchen derzeit Möglichkeiten, wie wir die RBAC-Fehlkonfiguration von Nutzern mit diesen Systemnutzern/-gruppen durch Prävention und Erkennung weiter vorbeugen können.

Wie gehe ich am besten vor?

Um neue Bindungen von cluster-admin an Nutzer system:anonymous, Gruppe system:authenticated oder Gruppe system:unauthenticated zu verhindern, können Nutzer ein Upgrade auf GKE v1.28 oder höher durchführen (Versionshinweise), bei denen das Erstellen dieser Bindungen blockiert ist.

Vorhandene Bindungen sollten gemäß dieser Anleitung überprüft werden.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

Wie gehe ich am besten vor?

Update vom 20.02.2024:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch: 1.28.100

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das Profil „seccomp“ Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.27.4-gke.400
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Ein Angreifer, der den Fluent-Bit-Logging-Container manipuliert hat, könnte diesen Zugriff mit den für Cloud Service Mesh erforderlichen Berechtigungen kombinieren (auf Clustern, in denen er aktiviert ist), um die Berechtigungen im Cluster auszuweiten. Die Probleme mit Fluent Bit und Cloud Service Mesh wurden behoben und Korrekturen sind jetzt verfügbar. Diese Sicherheitslücken können in GKE nicht allein ausgenutzt werden und erfordern eine erste Manipulation. Uns sind keine Fälle bekannt, in denen diese Schwachstellen ausgenutzt werden.

Diese Probleme wurden über unser Vulnerability Reward Program (Prämienprogramm für die Meldung von Sicherheitslücken) gemeldet.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken in Fluent Bit und für Nutzer des verwalteten Cloud Service Mesh zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Eine neue Funktion der Release-Versionen ermöglicht es dir, einen Patch anzuwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre spezifische Release-Version wird.

Wenn der Cluster das clusterinterne Cloud Service Mesh verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen ausführen (Versionshinweise):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer den Fluent Bit-Logging-Container manipuliert. Uns sind keine Sicherheitslücken in Fluent Bit bekannt, die diese Voraussetzung für eine Rechteausweitung zur Folge haben. Wir haben diese Sicherheitslücken zur Härtung gepatcht, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

GKE verwendet Fluent Bit, um Logs für Arbeitslasten zu verarbeiten, die in Clustern ausgeführt werden. Fluent Bit in GKE wurde auch zum Erfassen von Logs für Cloud Run-Arbeitslasten konfiguriert. Die zum Erfassen dieser Logs konfigurierte Volume-Bereitstellung gewährte Fluent Bit Zugriff auf Kubernetes-Dienstkonto-Tokens für andere Pods, die auf dem Knoten ausgeführt wurden. Das Forschungsteam hat diesen Zugriff genutzt, um ein Dienstkonto-Token mit umfassenden Berechtigungen für Cluster zu ermitteln, für die Cloud Service Mesh aktiviert ist.

Cloud Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Das Forschungsunternehmen hat das privilegierte Kubernetes-Dienstkontotoken von Cloud Service Mesh verwendet, um seine anfänglich manipulierten Berechtigungen auszuweiten. Dazu erstellte es einen neuen Pod mit Clusteradministratorberechtigungen.

Wir haben den Zugriff von Fluent Bit auf die Dienstkontotokens entfernt und die Funktionalität des Cloud Service Mesh so gestaltet, dass nicht erforderliche Berechtigungen entfernt werden.

Nur GKE on VMware-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen ausführen (Versionshinweise):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig ausbricht oder Root auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung zur Folge haben. Wir haben diese Sicherheitslücken zur Härtung gepatcht, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Cloud Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Das Forschungsunternehmen hat das privilegierte Kubernetes-Dienstkontotoken von Cloud Service Mesh verwendet, um seine anfänglich manipulierten Berechtigungen auszuweiten. Dazu erstellte es einen neuen Pod mit den Berechtigungen „cluster-admin“.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen.

Nur GKE on AWS-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen ausführen (Versionshinweise):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig ausbricht oder Root auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung zur Folge haben. Wir haben diese Sicherheitslücken zur Härtung gepatcht, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Cloud Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Das Forschungsunternehmen hat das privilegierte Kubernetes-Dienstkontotoken von Cloud Service Mesh verwendet, um seine anfänglich manipulierten Berechtigungen auszuweiten. Dazu erstellte es einen neuen Pod mit den Berechtigungen „cluster-admin“.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen.

Nur GKE in Azure-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen ausführen (Versionshinweise):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig ausbricht oder Root auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung zur Folge haben. Wir haben diese Sicherheitslücken gepatcht, um eine mögliche vollständige Angriffskette in Zukunft zu verhindern.

Cloud Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Das Forschungsunternehmen hat das privilegierte Kubernetes-Dienstkontotoken von Cloud Service Mesh verwendet, um seine anfänglich manipulierten Berechtigungen auszuweiten. Dazu erstellte es einen neuen Pod mit den Berechtigungen „cluster-admin“.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen.

Nur GKE on Bare Metal-Cluster mit Cloud Service Mesh sind betroffen.

Wie gehe ich am besten vor?

Wenn Ihr Cluster clusterinternes Cloud Service Mesh verwendet, müssen Sie ein manuelles Upgrade auf eine der folgenden Versionen ausführen (Versionshinweise):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die in diesem Bulletin behandelten Sicherheitslücken erfordern, dass ein Angreifer zuerst einen Container manipuliert oder anderweitig ausbricht oder Root auf einem Clusterknoten hat. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung zur Folge haben. Wir haben diese Sicherheitslücken zur Härtung gepatcht, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Anthos Service Mesh erforderte hohe Berechtigungen, um die erforderlichen Änderungen an der Konfiguration eines Clusters vorzunehmen, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Das Forschungsunternehmen hat das privilegierte Kubernetes-Dienstkontotoken von Cloud Service Mesh verwendet, um seine anfänglich manipulierten Berechtigungen auszuweiten. Dazu erstellte es einen neuen Pod mit den Berechtigungen „cluster-admin“.

Wir haben die Funktionalität des Cloud Service Mesh neu gestaltet, um übermäßige Berechtigungen zu entfernen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 22.01.2024: Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Wie gehe ich am besten vor?

Update vom 04.03.2024: Die folgenden Versionen von GKE on VMware werden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Versionen oder höher durch:

• 1.28.200
• 1.16.5
• 1.15.8

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Patchversionen oder höher aus:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Die folgenden Nebenversionen sind betroffen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster sind nicht betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 15.11.2023: Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Wenn Sie beispielsweise die GKE-Version 1.27 verwenden, sollten Sie ein Upgrade auf die entsprechende Patchversion durchführen. Wenn Sie jedoch die GKE-Version 1.24 verwenden, müssen Sie kein Upgrade auf eine Patchversion durchführen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Sie können Patchversionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in einer eigenen Release-Version ausgeführt wird. Mit diesem Feature können Sie Ihre Knoten sichern, bis die Patchversion zum Standard in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen über eine neuere Version ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 05.12.2023: Einige GKE-Versionen fehlten. Im Folgenden finden Sie eine aktualisierte Liste der GKE-Versionen, auf die Sie Ihr Container-Optimized OS aktualisieren können:

• 1.24.17-gke.200 oder höher
• 1.25.13-gke.200 oder höher
• 1.26.8-gke.200 oder höher
• 1.27.4-gke.2300 oder höher
• 1.28.1-gke.1257000 oder höher

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.27.5-gke.1647000

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen. GKE Sandbox-Arbeitslasten sind ebenfalls nicht betroffen.

Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann ein Upgrade auf eine der in diesem Bulletin aufgeführten Patchversionen durchführen, wenn Sie diese Nebenversion in Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Führen Sie ein Upgrade Ihrer Knotenpools mit Container-Optimized OS auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder eine höhere Version durch:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

Wie gehe ich am besten vor?

Update vom 09.11.2023: Wir haben neue Versionen von GKE veröffentlicht, die die Go- und Kubernetes-Sicherheitspatches enthalten, auf die Sie Ihre Cluster jetzt aktualisieren können. In den kommenden Wochen werden wir weitere Änderungen an der GKE-Steuerungsebene veröffentlichen, um dieses Problem weiter zu minimieren.

Die folgenden GKE-Versionen wurden mit Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Wir empfehlen Ihnen, so schnell wie möglich die folgende Maßnahme anzuwenden und ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald der GKE-Release verfügbar ist, aktualisieren wir dieses Bulletin mit einer Anleitung zur Aktualisierung Ihrer Steuerungsebene. Die Patches werden auch im GKE-Sicherheitsstatus sichtbar, wenn sie für Ihren Cluster verfügbar sind. Wenn du eine Pub/Sub-Benachrichtigung erhalten möchtest, sobald ein Patch für deinen Kanal verfügbar ist, aktiviere Clusterbenachrichtigungen.

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Probleme durch das Konfigurieren autorisierter Netzwerke für den Zugriff auf die Steuerungsebene vermeiden:

Sie können autorisierte Netzwerke für vorhandene Cluster hinzufügen. Weitere Informationen finden Sie unter Autorisiertes Netzwerk für vorhandene Cluster.

Zusätzlich zu den autorisierten Netzwerken, die Sie hinzufügen, gibt es voreingestellte IP-Adressen, die auf die GKE-Steuerungsebene zugreifen können. Weitere Informationen zu diesen Adressen finden Sie unter Zugriff auf Endpunkte der Steuerungsebene. Im Folgenden wird die Clusterisolation zusammengefasst:

• Private Cluster mit --master-authorized-networks und PSC-basierten Clustern mit konfiguriertem --master-authorized-networks und --no-enable-google-cloud sind am isoliertsten.
• Öffentliche Legacy-Cluster mit --master-authorized-networks und PSC-basierten Clustern mit konfiguriertem --master-authorized-networks und --enable-google-cloud (Standardeinstellung) sind zusätzlich über Folgendes zugänglich:
  • Öffentliche IP-Adressen aller Compute Engine-VMs in Google Cloud
  • IP-Adressen der Google Cloud Platform

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der GKE-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on VMware erstellt Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Update vom 14.02.2024 : Die folgenden Versionen von GKE on VMware werden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Cluster auf die folgenden Patchversionen oder höher durch:

• 1.28.100
• 1.16.6
• 1.15.8

Wenn Sie Ihre GKE on VMware-Kubernetes-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on AWS erstellt private Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Aktualisierung vom 20.03.2024: Die folgenden GKE on AWS-Versionen wurden mit Patches für CVE-2023-44487 aktualisiert:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Wenn Sie GKE on AWS für direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke konfiguriert haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. GKE on Azure erstellt private Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Aktualisierung vom 20.03.2024: Die folgenden GKE on Azure-Versionen wurden mit Patches für CVE-2023-44487 aktualisiert:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Wenn Sie Ihre GKE on Azure-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Kubernetes-Steuerungsebene führen. Anthos on Bare Metal erstellt Kubernetes-Cluster, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Wenn Sie Ihre Kubernetes-Cluster für Anthos on Bare Metal so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewalladministrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Weitere Informationen finden Sie in der Übersicht zur Sicherheit von GKE on Bare Metal.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen, sobald diese verfügbar ist.

Am 10. Oktober werden Golang-Patches veröffentlicht. Sobald diese Patches verfügbar sind, erstellen und qualifizieren wir einen neuen Kubernetes API-Server und erstellen einen GKE-Patchrelease. Sobald die GKE-Version verfügbar ist, aktualisieren wir dieses Bulletin mit Informationen dazu, auf welche Version Sie ein Upgrade Ihrer Steuerungsebene durchführen sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf Knoten der Kubernetes-Steuerungsebene ausführen.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

GKE-Cluster sind nur betroffen, wenn sie Windows-Knoten enthalten.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Upgrade von Knoten aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

Die GKE-Steuerungsebene wird in der Woche vom 04.09.2023 aktualisiert, um den csi-Proxy auf Version 1.1.3 zu aktualisieren. Wenn Sie Ihre Knoten vor dem Update der Steuerungsebene aktualisieren, müssen Sie Ihre Knoten nach dem Update noch einmal aktualisieren, um den neuen Proxy nutzen zu können. Sie können die Knoten noch einmal aktualisieren, auch ohne die Knotenversion zu ändern. Führen Sie dazu den Befehl gcloud container clusters upgrade aus und übergeben Sie das Flag --cluster-version mit der GKE-Version, die der Knotenpool bereits ausführt. Für diese Problemumgehung müssen Sie die gcloud CLI verwenden. Beachten Sie, dass dies unabhängig vom Wartungsfenster zu einer Aktualisierung führt.

Eine neue Funktion der Release-Versionen ermöglicht es dir, einen Patch anzuwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre spezifische Release-Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-3676 könnte ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet fehlt die Eingabebereinigung und übergibt diesen erstellten Pfadstring als Argument an den Befehls-Executor, wo er Teile des Strings als separate Befehle ausführen würde. Diese Befehle werden mit denselben Administratorberechtigungen wie Kubelet ausgeführt.

Mit CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Berechtigung, Code mit derselben Berechtigungsebene wie der Kubelet-Agent auszuführen, und zwar privilegierte Berechtigungen.

Wie bei CVE-2023-3893 können Nutzer, die Pods auf Windows-Knoten erstellen können, auf denen kubernetes-csi-proxy ausgeführt wird, ebenfalls an Administratorberechtigungen für diese Knoten eskalieren, wenn keine Eingabebereinigung erfolgt.

Mit Kubernetes-Audit-Logs kann ermittelt werden, ob diese Sicherheitslücke ausgenutzt wird. Ereignisse zur Pod-Erstellung mit eingebetteten PowerShell-Befehlen sind ein starker Hinweis auf Ausnutzung. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods bereitgestellt werden, sind ebenfalls ein starker Hinweis auf Ausnutzung.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Cluster sind nur betroffen, wenn sie Windows-Knoten enthalten.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-3676 könnte ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet fehlt die Eingabebereinigung und übergibt diesen erstellten Pfadstring als Argument an den Befehls-Executor, wo er Teile des Strings als separate Befehle ausführen würde. Diese Befehle werden mit denselben Administratorberechtigungen wie Kubelet ausgeführt.

Mit CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Berechtigung, Code mit derselben Berechtigungsebene wie der Kubelet-Agent auszuführen, und zwar privilegierte Berechtigungen.

Wie bei CVE-2023-3893 können Nutzer, die Pods auf Windows-Knoten erstellen können, auf denen kubernetes-csi-proxy ausgeführt wird, ebenfalls an Administratorberechtigungen für diese Knoten eskalieren, wenn keine Eingabebereinigung erfolgt.

Mit Kubernetes-Audit-Logs kann ermittelt werden, ob diese Sicherheitslücke ausgenutzt wird. Ereignisse zur Pod-Erstellung mit eingebetteten PowerShell-Befehlen sind ein starker Hinweis auf Ausnutzung. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods bereitgestellt werden, sind ebenfalls ein starker Hinweis auf Ausnutzung.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Wie gehe ich am besten vor?

GKE on AWS ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Wie gehe ich am besten vor?

GKE on Azure ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind betroffen, da GKE Autopilot-Knoten immer Container-Optimized OS-Knoten-Images verwenden. Betroffen sind GKE-Standardcluster mit Version 1.25 oder höher, auf denen Container-Optimized OS-Knoten-Images ausgeführt werden.

GKE-Cluster sind nicht betroffen, wenn sie nur Ubuntu-Knoten-Images bzw. Versionen vor 1.25 ausführen oder GKE Sandbox verwenden.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2235 überprüfte die perf_group_associate-Funktion das gleichgeordnete Element "attach_state" des Ereignisses nicht vor dem Aufrufen von add_event_to_groups(), aber remove_on_exec ermöglichte es, list_del_event() aufzurufen, bevor die Gruppe getrennt wurde. Dies ermöglichte die Verwendung eines mängelnden Zeigers, der die Sicherheitslücke use-after-free verursacht hat.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2235 überprüfte die perf_group_associate-Funktion das gleichgeordnete Element "attach_state" des Ereignisses nicht vor dem Aufrufen von add_event_to_groups(), aber remove_on_exec ermöglichte es, list_del_event() aufzurufen, bevor die Gruppe getrennt wurde. Dies ermöglichte die Verwendung eines mängelnden Zeigers, der die Sicherheitslücke use-after-free verursacht hat.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-2235 überprüfte die perf_group_associate-Funktion das gleichgeordnete Element "attach_state" des Ereignisses nicht vor dem Aufrufen von add_event_to_groups(), aber remove_on_exec ermöglichte es, list_del_event() aufzurufen, bevor die Gruppe getrennt wurde. Dies ermöglichte die Verwendung eines mängelnden Zeigers, der die Sicherheitslücke use-after-free verursacht hat.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-2235 überprüfte die perf_group_associate-Funktion das gleichgeordnete Element "attach_state" des Ereignisses nicht vor dem Aufrufen von add_event_to_groups(), aber remove_on_exec ermöglichte es, list_del_event() aufzurufen, bevor die Gruppe getrennt wurde. Dies ermöglichte die Verwendung eines mängelnden Zeigers, der die Sicherheitslücke use-after-free verursacht hat.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 11. Juli 2023:Ubuntu-Patchversionen sind verfügbar.

Die folgenden GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-31436 patchen:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den externen Speicherzugriff festgestellt, indem ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den externen Speicherzugriff festgestellt, indem ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den externen Speicherzugriff festgestellt, indem ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-31436 wurde im Traffic-Control-Subsystem (QoS) des Linux-Kernels eine Schwachstelle für den externen Speicherzugriff festgestellt, indem ein Nutzer die Funktion qfq_change_class mit einem falschen MTU-Wert des als lmax verwendeten Netzwerkgeräts auslöst. Dadurch können lokale Nutzer abstürzen oder ihre Berechtigungen auf dem System ausweiten.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

In Envoy wurden mehrere Sicherheitslücken entdeckt, die in Cloud Service Mesh (ASM) verwendet werden. Diese wurden separat als GCP-2023-002 gemeldet.

GKE wird nicht mit ASM ausgeliefert und ist nicht von diesen Sicherheitslücken betroffen.

Wie gehe ich am besten vor?

Wenn Sie ASM für Ihre GKE-Cluster separat installiert haben, lesen Sie GCP-2023-002.

Eine Reihe von Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27496) in Envoy für den Absturz von Envoy in einem VMware-Dienst durchgeführt, der einen bösartigen Absturz in einem VMware-Dienst verursacht. Diese wurden separat als GCP-2023-002 gemeldet. Wir möchten jedoch dafür sorgen, dass GKE Enterprise-Kunden ihre Versionen aktualisieren, die ASM enthalten.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:

• 1.13.8
• 1.14.5
• 1.15.1

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, könnte ein böswilliger Akteur eine Anfrage erstellen, die durch einen Absturz von Envoy zu einem Denial of Service führt.

CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn ext_authz verwendet wird.

CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mithilfe von Eingaben aus der Anfrage generiert wurden, z. B. dem SAN des Peer-Zertifikats.

CVE-2023-27492: Angreifer können große Anfragetexte für Routen senden, für die der Lua-Filter aktiviert ist, und Abstürze auslösen.

CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen.

CVE-2023-27487: Der Header x-envoy-original-path sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht aus der Anfrage zu Beginn der Anfrageverarbeitung, wenn er von einem nicht vertrauenswürdigen Client gesendet wird.

In Envoy Cloud Service Mesh wurde eine Reihe von Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) entdeckt. Diese wurden separat als GCP-2023-002 gemeldet.

GKE on AWS wird nicht mit ASM ausgeliefert und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

In Envoy Cloud Service Mesh wurde eine Reihe von Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) entdeckt. Diese wurden separat als GCP-2023-002 gemeldet.

GKE on Azure wird nicht mit ASM ausgeliefert und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Es wurden mehrere Sicherheitslücken (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27496, CVE-2023-27487) in einem bösartigen Metal-Dienst in Envoy oder einem Metal-Absturz in einem bösartigen Metal-Dienst in einem bösartigen Metal-Dienst in GKE oder in einem bösartigen Metal-Dienst in einem bösartigen Metal-Dienst in GKE oder in einem bösartigen Metal-Dienst in einem bösartigen Metal-Service in einem Diese wurden separat als GCP-2023-002 gemeldet. Wir möchten jedoch dafür sorgen, dass GKE Enterprise-Kunden ihre Versionen aktualisieren, die ASM enthalten.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on Bare Metal-Versionen:

• 1.13.9
• 1.14.6
• 1.15.2

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, könnte ein böswilliger Akteur eine Anfrage erstellen, die durch einen Absturz von Envoy zu einem Denial of Service führt.

CVE-2023-27488: Angreifer können diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn ext_authz verwendet wird.

CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mithilfe von Eingaben aus der Anfrage generiert wurden, z. B. dem SAN des Peer-Zertifikats.

CVE-2023-27492: Angreifer können große Anfragetexte für Routen senden, für die der Lua-Filter aktiviert ist, und Abstürze auslösen.

CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen.

CVE-2023-27487: Der Header x-envoy-original-path sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht aus der Anfrage zu Beginn der Anfrageverarbeitung, wenn er von einem nicht vertrauenswürdigen Client gesendet wird.

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

In CVE-2023-0468 wurde in io_uring/poll.c in io_poll_check_events in der Unterkomponente io_uring im Linux-Kernel ein „Use-After-Free“-Fehler gefunden. Dieser Fehler kann zu einer Dereferenzierung des NULL-Zeigers und zu einem Systemabsturz führen, der zu einem Denial of Service führt.

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

GKE on VMware verwendet Version 5.4 des Linux-Kernels und ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

• Sie müssen nichts unternehmen

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

GKE on AWS ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

• Sie müssen nichts unternehmen

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

GKE on Azure ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

• Sie müssen nichts unternehmen

In Version 5.15 des Linux-Kernels wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die zu einer Dienstverweigerung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

• Sie müssen nichts unternehmen

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden.

GKE verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

• Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
• Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
• Pods verwenden sitzungsspezifische Container.

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das Zulassungs-Plug-in „ServiceAccount“ (CVE-2023-2728) verwenden. Anthos auf VMware verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.

Alle Versionen von Anthos on VMware sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen durch:

• 1.13.10
• 1.14.6
• 1.15.3

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

• Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
• Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
• Pods verwenden sitzungsspezifische Container.

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das Zulassungs-Plug-in „ServiceAccount“ (CVE-2023-2728) verwenden.
Anthos in AWS verwendet ImagePolicyWebhook nicht und ist nicht von CVE-2023-2727 betroffen.
Alle Versionen von Anthos on AWS sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgende Version von GKE on AWS wurde mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on AWS-Version durch:

• 1.15.2

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

• Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
• Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
• Pods verwenden sitzungsspezifische Container.

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das Zulassungs-Plug-in „ServiceAccount“ (CVE-2023-2728) verwenden.
Anthos on Azure verwendet keinen ImagePolicyWebhook und ist nicht von CVE-2023-2727 betroffen.
Alle Versionen von Anthos on Azure sind potenziell anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgende Version von GKE on Azure wurde mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Führen Sie ein Upgrade Ihrer Knoten auf die folgende GKE on Azure-Version durch:

• 1.15.2

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

• Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
• Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
• Pods verwenden sitzungsspezifische Container.

In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das Zulassungs-Plug-in „ServiceAccount“ (CVE-2023-2728) verwenden.
Anthos on Bare Metal verwendet ImagePolicyWebhook nicht und ist nicht von CVE-2023-2727 betroffen.
Alle Versionen von Anthos on Bare Metal sind möglicherweise anfällig für CVE-2023-2728.

Wie gehe ich am besten vor?

Update vom 11.08.2023:Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal durch:

• 1.13.9
• 1.14.7
• 1.15.3

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-2727 können Nutzer Container mit Images starten, die durch ImagePolicyWebhook eingeschränkt sind, wenn sie sitzungsspezifische Container verwenden. Kubernetes-Cluster sind nur betroffen, wenn das Zulassungs-Plug-in ImagePolicyWebhook mit sitzungsspezifischen Containern verwendet wird. Dieses CVE kann auch durch die Verwendung von Validierungs-Webhooks wie Gatekeeper und Kyverno abgemildert werden, um dieselben Einschränkungen zu erzwingen.

In CVE-2023-2728 können Nutzer möglicherweise Container starten, die die vom ServiceAccount Admission-Plug-in erzwungene Richtlinie für mountbare Secrets umgehen, wenn sie sitzungsspezifische Container verwenden. Die Richtlinie sorgt dafür, dass Pods, die mit einem Dienstkonto ausgeführt werden, nur auf Secrets verweisen dürfen, die im Feld „Secrets“ des Dienstkontos angegeben sind. Cluster sind in folgenden Fällen von dieser Sicherheitslücke betroffen:

• Das Zulassungs-Plug-in „ServiceAccount“ wird verwendet.
• Die Annotation „kubernetes.io/enforce-mountable-secrets“ wird von einem Dienstkonto verwendet. Diese Anmerkung wird nicht standardmäßig hinzugefügt.
• Pods verwenden sitzungsspezifische Container.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE ist zwar nicht betroffen, aber wenn Sie die Komponente "secrets-store-csi-driver" installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on VMware ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on VMware ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on AWS ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on AWS ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on Azure ist von dieser CVE nicht betroffen

Wie gehe ich am besten vor?

GKE on Azure ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind.

GKE on Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

GKE on Bare Metal ist zwar nicht betroffen, aber wenn Sie die Komponente „secrets-store-csi-driver“ installiert haben, sollten Sie Ihre Installation mit einer Patchversion aktualisieren

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-2878 wurde in "secrets-store-csi-driver" gefunden. Nutzer mit Zugriff auf die Treiberlogs konnten Dienstkonto-Tokens beobachten. Diese Tokens können dann potenziell mit externen Cloud-Anbietern ausgetauscht werden, um auf Secrets zuzugreifen, die in Cloud Vault-Lösungen gespeichert sind. Tokens werden nur protokolliert, wenn TokenRequests im CSIDriver-Objekt konfiguriert und der Treiber über das Flag „-v“ auf Logebene 2 oder höher ausgeführt wird.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann. GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben:

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert:

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-1872 ist eine Sicherheitslücke im io_uring-Subsystem des Linux-Kernels, die zur lokalen Rechteausweitung ausgenutzt werden kann. In der io_file_get_fixed-Funktion fehlt ctx->uring_lock. Dies kann zu einer Use-After-Free-Sicherheitslücke führen, da eine Race-Bedingung bei der Aufhebung der Registrierung von festen Dateien zur Folge haben kann.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann.

GKE on Bare Metal ist von dieser CVE nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können. GKE Standard-Cluster sind betroffen.

GKE Autopilot-Cluster und Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 06.06.2023:Ubuntu-Patchversionen sind verfügbar.

Die folgenden GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-1281 und CVE-2023-1829 patchen:

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade des Clusters und der Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion tcindex_delete nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion tcindex_delete nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion tcindex_delete nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sowohl CVE-2023-1281 als auch CVE-2023-1829 sind Sicherheitslücken im Linux-Kernel-Traffic Control Index (tcindex), die zur Ausweitung lokaler Berechtigungen ausgenutzt werden können.

Bei CVE-2023-1829 werden Filter in bestimmten Fällen durch die Funktion tcindex_delete nicht ordnungsgemäß deaktiviert, was später zu einer doppelten Freigabe einer Datenstruktur führen kann.

In CVE-2023-1281 kann der nicht perfekte Hashbereich aktualisiert werden, während Pakete durchlaufen werden. Dies führt zu einer Use-After-Free-Funktion, wenn tcf_exts_exec() mit dem gelöschten tcf_ext aufgerufen wird. Ein lokaler Angreifer kann diese Sicherheitslücke nutzen, um seine Root-Berechtigungen auszuweiten.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

GKE on Bare Metal ist von diesem CVE nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. GKE-Cluster, einschließlich Autopilot-Cluster, mit COS, die die Linux-Kernel-Version 5.10 bis 5.10.162 verwenden, sind betroffen. GKE-Cluster mit Ubuntu-Images oder GKE Sandbox sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie das automatische Upgrade von Knoten aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

Mit einer kürzlich eingeführten Funktion von Release-Versionen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sicherheitslücke 1 (CVE-2023-0240): Ein Race-Bedingung in io_uring kann zu einem vollständigen Durchbruch des Containers zum Root auf dem Knoten führen. Die Linux-Kernel-Versionen 5.10 ist bis 5.10.162 betroffen.

Sicherheitslücke 2 (CVE-2023-23586): Die Verwendung nach der Freischaltung (UAF) in io_uring/time_ns kann zu einem vollständigen Break-out des Containers zum Stammverzeichnis auf dem Knoten führen. Die Linux-Kernel-Versionen 5.10 ist bis 5.10.162 betroffen.

Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. GKE on VMware-Cluster mit COS, die die Linux-Kernel-Version 5.10 bis 5.10.162 verwenden, sind betroffen. GKE Enterprise-Cluster, die Ubuntu-Images verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert:

• 1.12.6
• 1.13.5

Welche Sicherheitslücken werden mit diesem Patch behoben?

Sicherheitslücke 1 (CVE-2023-0240): Ein Race-Bedingung in io_uring kann zu einem vollständigen Durchbruch des Containers zum Root auf dem Knoten führen. Die Linux-Kernel-Versionen 5.10 ist bis 5.10.162 betroffen.

Sicherheitslücke 2 (CVE-2023-23586): Die Verwendung nach der Freischaltung (UAF) in io_uring/time_ns kann zu einem vollständigen Durchbruch des Containers zum Stammverzeichnis auf dem Knoten führen. Die Linux-Kernel-Versionen 5.10 ist bis 5.10.162 betroffen.

Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. GKE on AWS ist von diesen CVEs nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. GKE on Azure ist von diesen CVEs nicht betroffen

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. GKE on Bare Metal ist von diesen CVEs nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade Ihrer Cluster und Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

Mit einer kürzlich eingeführten Funktion von Release-Versionen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-4696 wurde ein Fehler wie "Use-After-Free" in io_uring und ioring_op_splice im Linux-Kernel gefunden. Dadurch kann ein lokaler Nutzer eine lokale Rechteausweitung vornehmen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware mit v1.12 und v1.13 ist betroffen. GKE on VMware mit Version 1.14 oder höher ist nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:

• 1.12.5
• 1.13.5

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-4696 wurde ein Fehler wie "Use-After-Free" in io_uring und ioring_op_splice im Linux-Kernel gefunden. Dadurch kann ein lokaler Nutzer eine lokale Rechteausweitung vornehmen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu Abstürzen führen können. Obwohl dies in der NVD-Datenbank mit „Hoch“ bewertet wurde, verwenden GKE-Endpunkte BoringSSL oder eine ältere Version von OpenSSL, die nicht betroffen ist. Daher wurde die Bewertung für GKE auf „Medium“ reduziert.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben:

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

Eine neue Funktion der Release-Versionen ist eine neue Funktion, mit der du einen Patch anwenden kannst, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2022-3786 und CVE-2022-3602 kann bei der Überprüfung des X.509-Zertifikats ein Pufferüberlauf ausgelöst werden. Dies kann zu einem Absturz und einem Denial of Service führen. Damit diese Sicherheitslücke ausgenutzt werden kann, muss entweder eine Zertifizierungsstelle ein schädliches Zertifikat signiert haben oder eine Anwendung muss die Zertifikatsüberprüfung fortsetzen, obwohl kein Pfad zu einem vertrauenswürdigen Aussteller erstellt wurde.

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu Abstürzen führen können.

Wie gehe ich am besten vor?

GKE on VMware ist von dieser CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Es sind keine weiteren Schritte erforderlich.

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu Abstürzen führen können.

Wie gehe ich am besten vor?

GKE on AWS ist von dieser CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Es sind keine weiteren Schritte erforderlich.

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu Abstürzen führen können.

Wie gehe ich am besten vor?

GKE on Azure ist von dieser CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Es sind keine weiteren Schritte erforderlich.

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu Abstürzen führen können.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von dieser CVE nicht betroffen, da keine betroffene Version von OpenSSL verwendet wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Es sind keine weiteren Schritte erforderlich.

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Im Linux-Kernel wurde im Subsystem io_uring eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch.

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in einem zukünftigen Release zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn automatische Knotenupgrades aktiviert sind, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• Container-Optimized OS:
  • 1.22.16-gke.1300 und höher
  • 1.23.14-gke.401 und höher
  • 1.24.7-gke.900 und höher
  • 1.25.4-gke.1600 und höher
• Ubuntu:
• 1.22.15-gke.2500 und höher
• 1.23.13-gke.900 und höher
• 1.24.7-gke.900 und höher
• 1.25.3-gke.800 und höher

Mit einer kürzlich eingeführten Funktion von Release-Versionen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2022-2602 kann ein Race-Bedingung zwischen der Anfrageverarbeitung io_uring und der automatischen Speicherbereinigung für Unix-Sockets eine Sicherheitslücke nach der nutzungsfreien Nutzung verursachen. Ein lokaler Angreifer könnte damit einen Denial-of-Service-Angriff auslösen oder möglicherweise beliebigen Code ausführen.

Im Linux-Kernel wurde im Subsystem io_uring eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen.

Die Versionen 1.11, 1.12 und 1.13 von GKE on VMware sind betroffen.

Wie gehe ich am besten vor?

Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt:

• 1.13.2
• 1.12.4
• 1.11.5

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2022-2602 kann ein Race-Bedingung zwischen der Anfrageverarbeitung io_uring und der automatischen Speicherbereinigung für Unix-Sockets eine Sicherheitslücke nach der nutzungsfreien Nutzung verursachen. Ein lokaler Angreifer könnte damit einen Denial-of-Service-Angriff auslösen oder möglicherweise beliebigen Code ausführen.

Im Linux-Kernel wurde im Subsystem io_uring eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen.

Wie gehe ich am besten vor?

Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:

• Aktuelle Generation:
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• Vorherige Generation:
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2022-2602 kann ein Race-Bedingung zwischen der Anfrageverarbeitung io_uring und der automatischen Speicherbereinigung für Unix-Sockets eine Sicherheitslücke nach der nutzungsfreien Nutzung verursachen. Ein lokaler Angreifer könnte damit einen Denial-of-Service-Angriff auslösen oder möglicherweise beliebigen Code ausführen.

Im Linux-Kernel wurde im Subsystem io_uring eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:

• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2022-2602 kann ein Race-Bedingung zwischen der Anfrageverarbeitung io_uring und der automatischen Speicherbereinigung für Unix-Sockets eine Sicherheitslücke nach der nutzungsfreien Nutzung verursachen. Ein lokaler Angreifer könnte damit einen Denial-of-Service-Angriff auslösen oder möglicherweise beliebigen Code ausführen.

Im Linux-Kernel wurde im Subsystem io_uring eine neue Sicherheitslücke (CVE-2022-2602) entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auszuführen.

GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Verteilung kein Betriebssystem gebündelt ist.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen.

GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch.

Update vom 16.12.2022:Aufgrund einer Regression des Release wurde eine frühere Version des Bulletins überarbeitet. Führen Sie für Ihre Knotenpools ein manuelles Upgrade auf eine der folgenden GKE-Versionen durch:

• 1.22.16-gke.1300 und höher
• 1.23.14-gke.401 und höher
• 1.24.7-gke.900 und höher
• 1.25.4-gke.1600 und höher

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Upgrade von Knoten aktiviert ist, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.21.14-gke.9500
• 1.24.7-gke.900

Updates für GKE v1.22, 1.23 und 1.25 sind demnächst verfügbar. Dieses Sicherheitsbulletin wird aktualisiert, sobald sie verfügbar sind.

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

• Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.
• Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

Die Versionen 1.13, 1.12 und 1.11 von GKE on VMware sind betroffen.

Wie gehe ich am besten vor?

Update vom 16.12.2022: Die folgenden Versionen von GKE on VMware wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:

• 1.13.2
• 1.12.4
• 1.11.6

• Hinweis: Versionen von GKE on VMware, die Container-Optimized OS-Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on VMware zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

• Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.
• Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

Die folgenden Versionen von Kubernetes on AWS können betroffen sein:

• 1.23: Versionen, die älter als 1.23.9-gke.800 sind Neuere Nebenversionen sind nicht betroffen
• 1.22: Versionen, die älter als 1.22.12-gke.1100 sind Neuere Nebenversionen sind nicht betroffen

Kubernetes V1.24 ist nicht betroffen.

Wie gehe ich am besten vor?

Wir empfehlen ein Upgrade Ihrer Cluster auf eine der folgenden AWS Kubernetes-Versionen:

• 1.23: eine Version nach v1.23.9-gke.800
• 1.22: eine Version nach 1.22.12-gke-1100

Welche Sicherheitslücken werden behoben?

Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.

Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

Die folgenden Versionen von Kubernetes in Azure können betroffen sein:

• 1.23: Versionen, die älter als 1.23.9-gke.800 sind Neuere Nebenversionen sind nicht betroffen.
• 1.22: Versionen, die älter als 1.22.12-gke.1100 sind Neuere Nebenversionen sind nicht betroffen.

Kubernetes V1.24 ist nicht betroffen.

Wie gehe ich am besten vor?

Wir empfehlen ein Upgrade Ihrer Cluster auf eine der folgenden Azure Kubernetes-Versionen:

• 1.23: eine Version nach v1.23.9-gke.800
• 1.22: eine Version nach 1.22.12-gke-1100

Welche Sicherheitslücken werden behoben?

Im Rahmen von CVE-2022-2585 ermöglicht eine unsachgemäße Bereinigung von Timern im POSIX-CPU-Timer ein Exploit, der nach der Erstellung und Löschung von Timern verwendet werden kann.

Bei CVE-2022-2588 wurde in "route4_change" im Linux-Kernel ein Schwachstelle "Use-After-Free" gefunden. Diese Schwachstelle ermöglicht es einem lokalen Nutzer, das System zum Absturz zu bringen, und führt möglicherweise zu einer lokalen Rechteausweitung.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können.

GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

In Istio wurde eine Sicherheitslücke namens CVE-2022-39278 entdeckt, die in Cloud Service Mesh verwendet wird und es einem böswilligen Angreifer ermöglicht, die Steuerungsebene zum Absturz zu bringen.

Wie gehe ich am besten vor?

Google Kubernetes Engine (GKE) wird nicht mit Istio ausgeliefert und ist nicht von dieser Sicherheitslücke betroffen. Wenn Sie jedoch Cloud Service Mesh oder Istio separat auf Ihrem GKE-Cluster installiert haben, finden Sie weitere Informationen unter GCP-2022-020, dem Cloud Service Mesh-Sicherheitsbulletin zu diesem CVE.

In Istio wurde eine Sicherheitslücke (CVE-2022-39278) gefunden. Istio wird in Cloud Service Mesh in GKE on VMware verwendet und ermöglicht einem böswilligen Angreifer, die Istio-Steuerungsebene zum Absturz zu bringen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GKE on VMware-Versionen:

• 1.11.4
• 1.12.3
• 1.13.1

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit der Sicherheitslücke CVE-2022-39278 ist die Istio-Steuerungsebene istiod anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer eine speziell erstellte Nachricht senden, die dazu führt, dass die Steuerungsebene abstürzt, wenn der validierende Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über den TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

In Istio wurde eine Sicherheitslücke namens CVE-2022-39278 entdeckt, die in Cloud Service Mesh verwendet wird und es einem böswilligen Angreifer ermöglicht, die Steuerungsebene zum Absturz zu bringen.

Wie gehe ich am besten vor?

GKE on AWS ist von dieser Sicherheitslücke nicht betroffen und es sind keine Maßnahmen erforderlich.

In Istio wurde eine Sicherheitslücke namens CVE-2022-39278 entdeckt, die in Cloud Service Mesh verwendet wird und es einem böswilligen Angreifer ermöglicht, die Steuerungsebene zum Absturz zu bringen.

Wie gehe ich am besten vor?

GKE on Azure ist von dieser Sicherheitslücke nicht betroffen und es sind keine Maßnahmen erforderlich.

In Istio wurde eine Sicherheitslücke (CVE-2022-39278) entdeckt. Istio wird in Cloud Service Mesh in GKE on Bare Metal verwendet und ermöglicht einem böswilligen Angreifer, die Istio-Steuerungsebene zum Absturz zu bringen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade von Clustern auf eine der folgenden GKE on Bare Metal-Versionen:

• 1.11.7
• 1.12.4
• 1.13.1

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit der Sicherheitslücke CVE-2022-39278 ist die Istio-Steuerungsebene istiod anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer eine speziell erstellte Nachricht senden, die dazu führt, dass die Steuerungsebene abstürzt, wenn der validierende Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über den TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, gefunden, die zur Ausweitung lokaler Berechtigungen führen kann. Betroffen sind Cluster der Google Kubernetes Engine (GKE) v1.22, v1.23 und v1.24, einschließlich Autopilot-Cluster, die Version 93 und 97 von Container-Optimized OS verwenden. Andere unterstützte GKE-Versionen sind nicht betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 14.12.2022:Aufgrund einer Regression des Release wurde eine frühere Version des Bulletins überarbeitet. Führen Sie für Ihre Knotenpools ein manuelles Upgrade auf eine der folgenden GKE-Versionen durch:

• 1.22.15-gke.2500 und höher
• 1.23.13-gke.900 und höher
• 1.24.7-gke.900 und höher

Die folgenden GKE-Versionen, die die Version 93 und 97 von Container-Optimized OS verwenden, wurden mit Code aktualisiert, um diese Sicherheitslücke in einem zukünftigen Release zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn automatische Knotenupgrades aktiviert sind, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.22.15-gke.2300 und höher
• 1.23.13-gke.700 und höher
• 1.24.7-gke.700 und höher

Mit einer kürzlich eingeführten Funktion der Release-Versionen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Mit diesem Feature können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des Subsystems io_uring. Aufgrund einer Sicherheitslücke des Typs „Use-After-Free“ (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder zur Ausführung von beliebigem Code verwenden.

Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, gefunden, die zur Ausweitung lokaler Berechtigungen führen kann.

Wie gehe ich am besten vor?

Update vom 14.12.2022: Die folgenden Versionen von GKE on VMware für Ubuntu wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:

• 1.13.1 und höher
• 1.12.3 und höher
• 1.11.4 und höher

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des Subsystems io_uring. Aufgrund einer Sicherheitslücke des Typs „Use-After-Free“ (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder zur Ausführung von beliebigem Code verwenden.

Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt. Sie ermöglicht einem nicht berechtigten Nutzer die Eskalation zur Systemausführungsberechtigung.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun. GKE on AWS verwendet nicht die betroffenen Versionen des Linux-Kernels.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des Subsystems io_uring. Aufgrund einer Sicherheitslücke des Typs „Use-After-Free“ (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder zur Ausführung von beliebigem Code verwenden.

Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-20409 entdeckt. Sie ermöglicht einem nicht berechtigten Nutzer die Eskalation zur Systemausführungsberechtigung.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun. GKE on Azure verwendet nicht die betroffenen Versionen des Linux-Kernels.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-20409 hat der Linux-Kernel eine Sicherheitslücke in io_identity_cow des Subsystems io_uring. Aufgrund einer Sicherheitslücke des Typs „Use-After-Free“ (UAF) kann der Arbeitsspeicher beschädigt werden. Ein lokaler Angreifer könnte diese Speicherbeschädigung für Denial of Service (Systemabsturz) oder zur Ausführung von beliebigem Code verwenden.

Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-20409, gefunden, die zur Ausweitung lokaler Berechtigungen führen kann.

Wie gehe ich am besten vor?

• Sie müssen nichts weiter tun. GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, gefunden, die zu einer lokalen Rechteausweitung führen kann. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer einen vollständigen Container-Breakout zum Rooting auf dem Knoten durchführen.

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Betroffen sind Cluster der Google Kubernetes Engine (GKE) v1.21, einschließlich Autopilot-Clustern, die Version 89 von Container-Optimized OS verwenden. Spätere Versionen von GKE sind davon nicht betroffen. Alle Linux-Cluster mit Ubuntu sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19. Januar 2023:Version 1.21.14-gke.14100 ist verfügbar. Führen Sie ein Upgrade Ihrer Knotenpools auf diese oder eine höhere Version durch.

Update vom 15.12.2022:Die Einführung von Version 1.21.14-gke.9400 steht noch aus und die Version wird möglicherweise durch eine höhere Versionsnummer ersetzt. Wir werden dieses Dokument aktualisieren, sobald die neue Version verfügbar ist.

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in einem zukünftigen Release zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn automatische Knotenupgrades aktiviert sind, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• Container-Optimized OS:
  • 1.21.14-gke.7100 und höher
• Ubuntu:
• 1.21.14-gke.9400 und höher
• 1.22.15-gke.2400 und höher
• 1.23.13-gke.800 und höher
• 1.24.7-gke.800 und höher
• 1.25.3-gke.700 und höher

Mit einer kürzlich eingeführten Funktion der Release-Versionen kannst du einen Patch anwenden, ohne das Abo für einen Kanal kündigen zu müssen. Mit diesem Feature können Sie Ihre Knoten sichern, bis die neue Version zum Standard für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können.

Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, gefunden, die zu einer lokalen Rechteausweitung führen kann. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer einen vollständigen Container-Breakout zum Rooting auf dem Knoten durchführen.

Wie gehe ich am besten vor?

• Versionen von GKE on VMware mit Container-Optimized OS sind nicht betroffen.

Aktualisierung vom 21.11.2022: Die folgenden Versionen von GKE on VMware für Ubuntu wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:

• 1.12.3 und höher
• 1.13.1 und höher
• 1.11.5 und höher

Versionen von GKE on VMware, die Ubuntu-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on VMware zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können.

Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, gefunden, die zur Ausweitung lokaler Berechtigungen führen kann. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer einen vollständigen Container-Breakout zum Rooting auf dem Knoten durchführen.

Wie gehe ich am besten vor?

Aktualisierung vom 21.11.2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Versionen von GKE on AWS, die Ubuntu-Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on AWS zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können.

Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, gefunden, die zur Ausweitung lokaler Berechtigungen führen kann. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer einen vollständigen Container-Breakout zum Rooting auf dem Knoten durchführen.

Wie gehe ich am besten vor?

Aktualisierung vom 21.11.2022: Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Versionen von GKE on Azure, die Ubuntu-Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on Azure zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2022-3176 hat der Linux-Kernel eine Sicherheitslücke im Subsystem io_uring. Eine fehlende POLLFREE-Verarbeitung kann zu UAF-Exploits (Use-After-Free) führen, die für die Rechteausweitung verwendet werden können.

Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, gefunden, die zu einer lokalen Rechteausweitung führen kann. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer einen vollständigen Container-Breakout zum Rooting auf dem Knoten durchführen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich. GKE on Bare Metal ist von dieser CVE nicht betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Technische Details

Aktualisierung vom 21.12.2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können jedoch anfällig sein, wenn Sie das Profil „seccomp Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Betroffen sind GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS (COS) unter Verwendung der Linux Kernel-Version 5.10. GKE-Cluster mit Ubuntu-Images oder GKE Sandbox sind nicht betroffen.

Was soll ich tun?

Aktualisieren Sie Ihre GKE-Cluster auf eine Version, die den Fehler enthält. Die Linux-Knoten-Images für COS wurden zusammen mit den GKE-Versionen aktualisiert, die diese COS-Versionen verwenden.

Aus Sicherheitsgründen empfehlen wir, auch wenn das automatische Knotenupgrade aktiviert ist, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

COS-Versionen

• 1.22.12-gke.300

• 1.23.8-gke.1900

• 1.24.2-gke.1900

Welche Sicherheitslücken werden mit diesem Patch behoben?

• CVE-2022-2327

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Betroffen sind Cluster mit einem Container-Optimized OS-Image (COS) mit GKE on VMware-Versionen 1.10, 1.11 und 1.12.

Wie gehe ich am besten vor?

Update vom 14.09.2022: Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt.

• 1.10.6 oder höher
• 1.11.3 oder höher
• 1.12.1 oder höher

Versionen von GKE on VMware, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on VMware zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

• CVE-2022-2327

Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, durch die bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Werden diese Anfragen ohne die richtigen Elementtypen verwendet, kann dies zu einer Rechteausweitung an das Root-Team führen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Wie gehe ich am besten vor?

Aktualisierung vom 14.09.2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:

Aktuelle Generation

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

Vorherige Generation

• 1.23.8-gke.2000
• 1.22.12-gke.300
• 1.21.14-gke.2100

Versionen von GKE on AWS, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on AWS zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

• CVE-2022-2327

Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, durch die bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Werden diese Anfragen ohne die richtigen Elementtypen verwendet, kann dies zu einer Rechteausweitung an das Root-Team führen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Wie gehe ich am besten vor?

Aktualisierung vom 14. September 2022: Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücke aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

Versionen von GKE on Azure, die Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on Azure zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

• CVE-2022-2327

Mit CVE-2022-2327 hat der Linux-Kernel in Version 5.10 eine Sicherheitslücke im io_uring-Subsystem, durch die bei verschiedenen Anfragen Elementtypen (Flags) fehlen. Werden diese Anfragen ohne die richtigen Elementtypen verwendet, kann dies zu einer Rechteausweitung an das Root-Team führen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist nicht von dieser CVE betroffen, da in der Verteilung kein Betriebssystem gebündelt ist.

Aktualisierung vom 22.11.2022: Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen.

Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen.

Was soll ich tun?

Die Versionen von Linux-Knoten-Images für Container-Optimized OS für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden bevorstehenden GKE-Versionen durchzuführen:

• 1.22.10-gke.600
• 1.23.7-gke.1400
• 1.24.1-gke.1400

Mit dem neuesten Feature für Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

In Verbindung mit CVE-2022-1786 wurde im io_uring-Subsystem des Linux-Kernels ein Use-After-Free-Problem gefunden. Wenn ein Nutzer einen Ring mit IORING_SETUP_IOPOLL mit mehreren Aufgaben einrichtet, die Einreichungen für den Ring abschließen, kann ein lokaler Nutzer das System abstürzen lassen oder seine Berechtigungen dafür eskalieren.

Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Wie gehe ich am besten vor?

Aktualisierung vom 21. Juli 2022: Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt.

COS

• 1.10.5 oder höher
• 1.11.2 oder höher
• 1.12.0 oder höher

Ubuntu

Sie müssen nichts unternehmen. GKE on VMware verwendet die betroffenen Versionen des Linux-Kernels nicht.

Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Was soll ich tun?

Sie müssen nichts unternehmen. GKE on AWS verwendet die betroffenen Versionen des Linux-Kernels nicht.

Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Was soll ich tun?

Sie müssen nichts unternehmen. GKE on Azure verwendet nicht die betroffenen Versionen des Linux-Kernels.

Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Was soll ich tun?

Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist nicht von dieser CVE betroffen, da in der Verteilung kein Betriebssystem gebündelt ist.

Aktualisierung vom 22.11.2022: Autopilot-Cluster sind nicht von CVE-2022-29581 betroffen, sind aber anfällig für CVE-2022-29582 und CVE-2022-1116.

Aktualisierung vom 29. Juli 2022: Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken.

Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen.

Wie gehe ich am besten vor?

Die Versionen von Linux-Knoten-Images für Container-Optimized OS und Ubuntu für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• Container-Optimized OS:
  • 1.19.16-gke.13800
  • 1.20.15-gke.8000
  • 1.21.12-gke.1500
  • 1.22.9-gke.1300
  • 1.23.6-gke.1500
  • 1.24.1-gke.1400
• Ubuntu:
  • 1.20.15-gke.9600
  • 1.21.13-gke.900
  • 1.22.10-gke.600
  • 1.23.7-gke.1400
  • 1.24.1-gke.1400

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Dadurch können Sie Ihre Knoten auf die Patchversion aktualisieren, bevor diese Version in der ausgewählten Release-Version zur Standardversion wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

Aktualisierung vom 29.07.2022: Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücken behebt.

• 1.9.7 oder höher
• 1.10.5 oder höher
• 1.11.2 oder höher
• 1.12.0 oder höher

Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen GKE on VMware v1.9 und höher für Images von Container-Optimized OS und Ubuntu.

Wie gehe ich am besten vor?

Versionen von GKE on VMware, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on VMware zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

Aktualisierung vom 29.07.2022: Aktualisierung: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:

Aktuelle Generation:

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

• 1.23.7-gke.1500
• 1.22.10-gke.1500
• 1.21.13-gke.1600

Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen alle Versionen von GKE on AWS.

Wie gehe ich am besten vor?

Versionen von GKE on AWS, die Patches enthalten, werden demnächst veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on AWS zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

Aktualisierung vom 29.07.2022: Aktualisierung: Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Diese Sicherheitslücken betreffen alle Versionen von GKE on Azure.

Wie gehe ich am besten vor?

Versionen von GKE on Azure, die Patches enthalten, werden bald veröffentlicht. Dieses Sicherheitsbulletin wird aktualisiert, sobald die Versionen von GKE on Azure zum Download verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2022-29582 hat der Linux-Kernel in Versionen vor 5.17.3 aufgrund einer Race-Bedingung bei io_uring-Zeitüberschreitungen eine Use-After-Free-Sicherheitslücke.

CVE-2022-29581 und CVE-2022-1116 sind Sicherheitslücken, bei denen ein lokaler Angreifer im Linux-Kernel eine Speicherbeschädigung in io_uring oder net/sched verursachen kann, um Berechtigungen zum Root zu eskalieren.

Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Diese Sicherheitslücken erlauben einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist nicht von dieser Sicherheitslücke betroffen, da in der Distribution kein Betriebssystem gebündelt ist.

Aktualisierung vom 22.11.2022: GKE Autopilot-Cluster und Arbeitslasten, die in GKE Sandbox ausgeführt werden, sind von diesen Sicherheitslücken nicht betroffen.

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

Technische Details

Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

Wie gehe ich am besten vor?

Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden kommenden GKE-Versionen:

• 1.19.16-gke.11000 und höher
• 1.20.15-gke.5200 und höher
• 1.21.11-gke.1100 und höher
• 1.22.8-gke.200 und höher
• 1.23.5-gke.1500 und höher

Welche Sicherheitslücken werden mit diesem Patch behoben?

• CVE-2022-1055
• CVE-2022-27666

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

Technische Details

Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

Wie gehe ich am besten vor?

Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Die folgenden GKE on VMware-Versionen oder höher enthalten die Fehlerkorrektur für diese Sicherheitslücke:

• 1.9.6 (anstehend)
• 1.10.3
• 1.11.0 (anstehend)

Welche Sicherheitslücken werden mit diesem Patch behoben?

• CVE-2022-1055
• CVE-2022-27666

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

Technische Details

Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

Wie gehe ich am besten vor?

Aktualisierung vom 12. Mai 2022: Die folgenden aktuellen und vorherigen Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücken zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

• 1.20.15-gke.5200
• 1.21.11-gke.1100
• 1.22.8-gke.1300

Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

• CVE-2022-1055
• CVE-2022-27666

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

Technische Details

Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

Wie gehe ich am besten vor?

Aktualisierung vom 12. Mai 2022: Die folgenden Versionen von GKE on Azure wurden mit Code zum Beheben dieser Sicherheitslücken aktualisiert. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on Azure-Versionen:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

Führen Sie ein Upgrade des Clusters auf eine Patchversion aus. Patches werden in einer künftigen Version verfügbar sein. Dieses Bulletin wird aktualisiert, sobald sie verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

• CVE-2022-1055
• CVE-2022-27666

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu).

Technische Details

Bei CVE-2022-1055 kann ein Angreifer use-after-free in tc_new_tfilter() ausnutzen. So kann ein lokaler Angreifer im Container seine Privilegien zum Root auf dem Knoten eskalieren.

Bei CVE-2022-27666 ermöglicht ein Pufferüberlauf in esp/esp6_output_head einem lokalen Angreifer im Container, die Berechtigungen zum Root auf dem Knoten zu eskalieren.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen, da Linux nicht im Paket enthalten ist. Sie sollten dafür sorgen, dass die verwendeten Knoten-Images auf Versionen aktualisiert werden, die die Fehlerkorrektur für CVE-2022-1055 und CVE-2022-27666 enthalten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

• CVE-2022-1055
• CVE-2022-27666

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (Container-Optimized OS und Ubuntu), die standardmäßig containerd verwenden. Es sind alle GKE-, Autopilot- und GKE Sandbox-Knoten betroffen.

Wie gehe ich am besten vor?

Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knoten auf eine der folgenden GKE-Versionen durchzuführen:

• 1.19.16-gke.9400
• 1.20.15-gke.3600
• 1.21.10-gke.1500
• 1.22.7-gke.1500
• 1.23.4-gke.1500

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle GKE on VMware mit aktiviertem Stackdriver, das containerd verwendet. GKE on VMware-Versionen 1.8, 1.9 und 1.10 sind betroffen

Wie gehe ich am besten vor?

Aktualisierung vom 22. April 2022 : Die folgenden Versionen von GKE on VMware enthalten Code, der diese Sicherheitslücke behebt.

• 1.9.5 oder höher
• 1.10.3 oder höher
• 1.11.0 oder höher

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on VMware-Versionen:

• 1.8.8 oder höher
• 1.9.5 oder höher
• 1.10.2 oder höher

Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Alle GKE on AWS-Versionen sind betroffen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden GKE on AWS-Versionen.

GKE on AWS (aktuelle Generation)

• Version 1.22: 1.22.8-gke.200
• Version 1.21: 1.21.11-gke.100

GKE on AWS (vorherige Generation)

• Version 1.22: 1.22.8-gke.300
• Version 1.21: 1.21.11-gke.100
• Version 1.20: 1.20.15-gke.2200

Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Alle GKE on Azure-Versionen sind betroffen.

Wie gehe ich am besten vor?

Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen Ihnen, ein Upgrade Ihrer Knoten so auszuführen:

• Version 1.22: 1.22.8-gke.200
• Version 1.21: 1.21.11-gke.100

Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten.

Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Diese Sicherheitslücke betrifft alle Google Distributed Cloud Virtual for Bare Metal-Instanzen, die containerd verwenden. Betroffen sind die Versionen 1.8, 1.9 und 1.10 von Google Distributed Cloud Virtual for Bare Metal

Wie gehe ich am besten vor?

Aktualisierung vom 22. April 2022 : Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal enthalten Code, der diese Sicherheitslücke behebt.

• 1.8.9 oder höher
• 1.9.6 oder höher
• 1.10.3 oder höher
• 1.11.0 oder höher

Die folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Knoten auf eine der folgenden Versionen von Google Distributed Cloud Virtual for Bare Metal:

• 1.8.8 oder höher
• 1.9.5 oder höher
• 1.10.2 oder höher

Diese CVE-Sicherheitslücke kann durch die Festlegung von "IgnoreImageDefinedVolumes" auf "true" behoben werden.

Aktualisierung vom 22.11.2022: Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen.

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft alle GKE-Knotenpoolversionen ab v1.22, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher). GKE-Knotenpools, die das Ubuntu-Betriebssystem verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die Versionen von Linux-Knoten-Images für die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.22.7-gke.1500 und höher
• 1.23.4-gke.1600 und höher

Mit der neuesten Funktion Release-Versionen können Sie eine Patchversion anderer Release-Versionen anwenden, ohne sich von einer Version abmelden zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

Neue Versionen von Container-Optimized OS, die dieses Problem beheben, wurden in die aktualisierten Knotenpoolversionen von GKE integriert.

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft GKE on VMware v1.10 für Container-Optimized OS-Images. Derzeit verwendet GKE auf VMware mit Ubuntu die Kernel-Version 5.4 und ist für diesen Angriff nicht anfällig.

Wie gehe ich am besten vor?

Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen ein Upgrade Ihrer Administrator- und Nutzercluster auf die folgende GKE on VMware-Version:

• 1.10.3

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

Neue Versionen von Container-Optimized OS, die dieses Problem beheben, wurden in die aktualisierten Versionen von GKE on VMware integriert.

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können.

Diese Sicherheitslücke betrifft verwaltete Cluster von GKE on AWS v1.21 und Cluster, die auf GKE on AWS (vorherige Generation) v1.19, v1.20 und v1.21 ausgeführt werden, die Ubuntu verwenden.

Wie gehe ich am besten vor?

Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben.

Für verwaltete GKE on AWS empfehlen wir ein Upgrade Ihrer Nutzercluster und Ihres Knotenpools auf eine der folgenden Versionen:

• 1.21.11-gke.100

Für k-lite GKE on AWS empfehlen wir ein Upgrade Ihrer AWSManagementService-, AWSCluster- und AWSNodePool-Objekte auf die folgende Version:

• 1.21.11-gke.100
• 1.20.15-gke.2200

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft verwaltete Cluster von GKE auf Azure v1.21, die Ubuntu verwenden.

Wie gehe ich am besten vor?

Die Versionen der Linux-Knoten-Images für die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Wir empfehlen Ihnen, ein Upgrade Ihrer Nutzercluster und Ihres Knotenpools auf die folgende Version durchzuführen:

• 1.21.11-gke.100

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2022-0847 bezieht sich auf das Flag PIPE_BUF_FLAG_CAN_MERGE, das in Version 5.8 des Linux-Kernels eingeführt wurde. Bei dieser Sicherheitslücke wurde das Mitglied "flags" der neuen Pipe-Pufferstruktur im Linux-Kernel nicht ordnungsgemäß initialisiert. Ein nicht privilegierter lokaler Angreifer kann diesen Fehler ausnutzen, um auf Seiten im Seiten-Cache zu schreiben, die durch schreibgeschützte Dateien gesichert sind, und seine Privilegien eskalieren.

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Google Distributed Cloud Virtual for Bare Metal ist von dieser CVE nicht betroffen, da Linux nicht im Paket enthalten ist. Sie sollten dafür sorgen, dass die verwendeten Knoten-Images auf Versionen aktualisiert werden, die die Fehlerkorrektur für CVE-2022-0847 enthalten.

Aktualisierung vom 11.08.2022: Weitere Informationen zur Konfiguration für gleichzeitiges Multi-Threading (SMT) wurden hinzugefügt. SMT sollte deaktiviert werden, war aber in den aufgeführten Versionen aktiviert.

Wenn Sie SMT manuell für einen Knotenpool in einer Sandbox aktiviert haben, bleibt SMT trotz dieses Problems manuell aktiviert.

Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Wenn Sie SMT für einen Knotenpool manuell aktiviert haben, wirkt sich dieses Problem nicht auf Ihre in der Sandbox ausgeführten Knoten aus.

Wie gehe ich am besten vor?

Führen Sie ein Upgrade Ihrer Knoten auf eine der folgenden Versionen durch:

• 1.22.6-gke.1500 und höher
• 1.23.3-gke.1100 und höher

Welche Sicherheitslücke wird mit diesem Patch behoben?

Bei GKE-Sandbox-Knoten ist SMT standardmäßig deaktiviert, um Seitenkanalangriffe abzuschwächen.

Aktualisierung vom 15.03.2022: Es wurden Anleitungen zur Härtung von GKE on AWS und GKE on Azure hinzugefügt. Abschnitt zur Persistenz mit Webhooks hinzugefügt.

Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden.

Nutzer von GKE Standard- und GKE-Clustern können optional eine ähnliche Härtungsrichtlinie wie unten beschrieben anwenden.

Technische Details

Hostzugriff mit Richtlinienausnahmen von Drittanbietern

Damit Google Cloud die vollständige Verwaltung von Knoten und ein SLA auf Pod-Ebene anbieten kann, beschränkt GKE Autopilot einige privilegierte Kubernetes-Primitive, um Arbeitslasten auf Low-Level-Zugriff auf die Knoten-VM zu beschränken. So legen Sie den Kontext fest: GKE Standard bietet vollständigen Zugriff auf das zugrunde liegende Computing, Autopilot bietet eingeschränkten Zugriff und Cloud Run bietet keinen Zugriff.

Autopilot lockert einige dieser Einschränkungen für eine vordefinierte Liste von Drittanbietertools, sodass Kunden diese Tools auf Autopilot ohne Änderung ausführen können. Mithilfe von Berechtigungen zum Erstellen von Pods mit Hostpfadbereitstellungen konnte der Forscher einen privilegierten Container in einem Pod ausführen, der wie eines dieser Tools von Drittanbietern aussieht, um Zugriff auf den Host zu erhalten.

Die Möglichkeit, Pods auf diese Weise zu planen, wird im GKE-Standard erwartet, aber nicht in GKE Autopilot, da die Hostzugriffseinschränkungen umgangen wurden, die zum Aktivieren des zuvor beschriebenen SLA verwendet wurden.

Dieses Problem wurde durch eine Verkürzung der Pod-Spezifikation des Drittanbieters für Zulassungslisten behoben.

Rechteausweitung von Root-auf-Knoten

Zusätzlich zum Hostzugriff wurden die Pods stackdriver-metadata-agent-cluster-level und metrics-server als stark privilegiert identifiziert. Nachdem der Zugriff auf Stammebene auf den Knoten erfolgt ist, können diese Dienste zur weiteren Kontrolle des Clusters verwendet werden.

Wir haben die stackdriver-metadata-agent sowohl für den GKE-Standard als auch für Autopilot verworfen und entfernt. Diese Komponente wird noch in GKE on VMware und Google Distributed Cloud Virtual for Bare Metal verwendet.

Als Maßnahmen zur Systemhärtung, um diese Art von Angriff in Zukunft zu verhindern, werden wir in einer künftigen Version eine Autopilot-Einschränkung anwenden, die Aktualisierungen des Dienstkontos verschiedener Objekte im Namespace kube-system verhindert. Wir haben für Sie eine Gatekeeper-Richtlinie entwickelt, mit der Sie einen ähnlichen Schutz auf GKE-Standardcluster und GKE-Cluster anwenden können, um zu verhindern, dass sich privilegierte Arbeitslasten selbst ändern. Diese Richtlinie wird automatisch auf Autopilot-Cluster angewendet. Eine Anleitung finden Sie in den folgenden Anleitungen zur Härtung:

• GKE Standard
• GKE auf VMware
• Google Distributed Cloud Virtual for Bare Metal
• Aktualisierung vom 15.03.2022: GKE on AWS
• Aktualisierung vom 15.03.2022: GKE on Azure

Ergänzung am 15.03.2022: Persistenz mit mutierenden Webhooks

In dem Bericht wurden mutierende Webhooks verwendet, um sich nach der Kompromittierung einen privilegierten Zugang zum Cluster zu verschaffen. Dies sind Standardteile der Kubernetes API, die von Clusteradministratoren erstellt und für Administratoren sichtbar gemacht werden, wenn Autopilot Unterstützung für benutzerdefinierte Webhooks hinzufügt.

Privilegierte Dienstkonten im Standard-Namespace

Autopilot-Richtlinienerzwinger haben zuvor zwei Dienstkonten im Standard-Namespace zugelassen: csi-attacher und otelsvc, um den Dienstkonten spezielle Berechtigungen zu erteilen. Ein Angreifer mit hohen Berechtigungen, einschließlich Berechtigungen zum Erstellen von ClusterRoleBinding-Objekten und mit Zugriff zum Erstellen von Pods im Standard-Namespace, kann mit diesen Dienstkontonamen auf diese zusätzlichen Berechtigungen zugreifen. Diese Dienste wurden unter den Namespace kube-system verschoben, um den Schutz der vorhandenen Autopilot-Richtlinie zu erhalten. GKE Standard-Cluster und GKE-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Die Richtlinien aller GKE Autopilot-Cluster wurden aktualisiert, um den unbeabsichtigten Hostzugriff zu entfernen, und keine weiteren Maßnahmen sind erforderlich.

In den nächsten Wochen wird eine weitere Härtung der Richtlinien als sekundärer Schutz auf Autopilot angewendet. Sie müssen nichts weiter tun.

GKE Standard-Cluster und GKE-Cluster sind nicht betroffen, da Nutzer bereits Zugriff auf den Host haben. Als Maßnahme zur Systemhärtung können Nutzer von GKE Standard-Clustern und GKE-Clustern einen ähnlichen Schutz mit einer Gatekeeper-Richtlinie anwenden, die die Selbständerung privilegierter Arbeitslasten verhindert. Eine Anleitung finden Sie in den folgenden Anleitungen zur Härtung:

• GKE Standard
• GKE auf VMware
• Google Distributed Cloud Virtual for Bare Metal
• Aktualisierung vom 15.03.2022: GKE on AWS
• Aktualisierung vom 15.03.2022: GKE on Azure

Was soll ich tun?

• Wenn Sie Anthos Service Mesh 1.12 verwenden, führen Sie ein Upgrade auf v1.12.4-asm.0 durch. .
• Wenn Sie Anthos Service Mesh 1.11 verwenden, führen Sie ein Upgrade auf v1.11.7-asm.1 durch.
• Wenn Sie Anthos Service Mesh 1.10 verwenden, führen Sie ein Upgrade auf v1.10.6-asm.1 durch.

• Wenn Sie Istio-on-GKE 1.6 verwenden, führen Sie ein Upgrade auf v1.6.14-gke.8 durch.
• Wenn Sie Istio-on-GKE 1.4.11 verwenden, führen Sie ein Upgrade auf v1.4.11-gke.4 durch.
• Wenn Sie Istio-on-GKE 1.4.10 verwenden, führen Sie ein Upgrade auf v1.4.10-gke.23 durch.
• Wenn Sie GKE 1.22 oder höher verwenden, verwenden Sie bitte Istio GKE 1.4.10. Verwenden Sie andernfalls Istio-on-GKE 1.4.11.

Welche Sicherheitslücken werden mit diesem Patch behoben?