Bulletins de sécurité

Un problème de sécurité a été détecté dans le fournisseur Google Secret Manager pour le pilote CSI Secret Store. Pour exploiter cette faille, un pirate informatique doit pouvoir effectuer les opérations suivantes:

1. Créez des pods sur les nœuds où le pilote CSI est exécuté.
2. Créez des secrets dans les mêmes espaces de noms que ces pods.
3. Installez des volumes CSI Secrets Store sur le pod avec l'option nodePublishSecretRef définie.
4. Fournir une configuration malveillante des identifiants par défaut de l'application dans le secret.
5. Faites référence au secret dans l'option nodePublishSecretRef de l'installation de volume.

En suivant ces étapes, un pirate informatique pourrait duper le pilote CSI pour qu'il divulgue le jeton de compte de service Kubernetes du pilote CSI à une URL contrôlée par le pirate informatique.

Le fournisseur Secret Manager peut être utilisé de deux manières avec un cluster GKE. Le module complémentaire Secret Manager pour GKE est une fonctionnalité gérée disponible sur les clusters GKE. En tant qu'utilisateur de GKE, vous pouvez également installer le fournisseur Google Secret Manager pour le pilote CSI Secrets Store Open Source sur votre cluster GKE. Dans les deux cas, le fournisseur permet à un pod Kubernetes d'accéder aux secrets stockés dans Google Cloud Secret Manager en tant que fichiers installés sur le pod en tant que volume.

Les correctifs du module complémentaire Secret Manager géré GKE et du fournisseur Secret Manager Open Source désactivent l'utilisation de nodePublishSecretRef pour éviter ce problème. Il a été déterminé que cela n'avait aucun impact sur l'utilisation existante du module complémentaire Secret Manager GKE. Un très petit nombre de clusters GKE utilisant le fournisseur Secret Manager Open Source avec nodePublishSecretRef peuvent être affectés. Le correctif Open Source permet de réactiver la fonctionnalité nodePublishSecretRef via la variable d'environnement ALLOW_NODE_PUBLISH_SECRET, si nécessaire.

Que dois-je faire ?

Effectuez l'une des opérations suivantes en fonction de la façon dont votre cluster GKE utilise le fournisseur Secret Manager:

Module complémentaire Secret Manager GKE géré

Si vous utilisez le module complémentaire GKE géré, mettez à niveau votre cluster GKE vers une version corrigée. Les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille. Mettez à niveau vos pools de nœuds vers les versions suivantes ou ultérieures:

• 1.27.16-gke.2051000
• 1.28.15-gke.1362000
• 1.29.11-gke.1012000
• 1.30.6-gke.1596000
• 1.31.1-gke.1846000

Pour recevoir la correction le plus rapidement possible, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds standards vers une version GKE avec correctif. Les canaux de publication GKE vous permettent d'appliquer un correctif avant que la nouvelle version ne devienne une cible de mise à niveau automatique dans le canal de publication sélectionné.

Fournisseur de services Secret Manager Open Source

Si vous utilisez le fournisseur Secret Manager Open Source, passez à la version 1.7.0. Si vous utilisez le chart Helm, la dernière version fait déjà référence à la version 1.7.0. Si vous basez votre installation directement sur le fichier deploy/provider-gcp-plugin.yaml, notez que l'image a également été mise à jour dans ce fichier.

Une faille dans le fournisseur Google Secret Manager pour le pilote CSI Secrets Store permet à un pirate informatique disposant d'autorisations de création de pod et de secret dans un espace de noms d'extraire le jeton de compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod.

Que dois-je faire ?

Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous êtes peut-être concerné. Pour obtenir des instructions concernant le fournisseur Secret Manager Open Source, consultez l'onglet GKE.

Les clusters GDC (VMware) ne sont pas concernés, car ils n'offrent pas de module complémentaire géré. Aucune autre action n'est donc requise.

Une faille dans le fournisseur Google Secret Manager pour le pilote CSI Secrets Store permet à un pirate informatique disposant d'autorisations de création de pod et de secret dans un espace de noms d'extraire le jeton de compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod.

Que dois-je faire ?

Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous êtes peut-être concerné. Pour obtenir des instructions concernant le fournisseur Secret Manager Open Source, consultez l'onglet GKE.

Les clusters GKE sur AWS ne sont pas concernés, car ils n'offrent pas de module complémentaire géré. Aucune autre action n'est donc requise.

Une faille dans le fournisseur Google Secret Manager pour le pilote CSI Secrets Store permet à un pirate informatique disposant d'autorisations de création de pod et de secret dans un espace de noms d'extraire le jeton de compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod.

Que dois-je faire ?

Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous êtes peut-être concerné. Pour obtenir des instructions concernant le fournisseur Secret Manager Open Source, consultez l'onglet GKE.

Les clusters GKE sur Azure ne sont pas concernés, car ils n'offrent pas de module complémentaire géré. Aucune autre action n'est donc requise.

Une faille dans le fournisseur Google Secret Manager pour le pilote CSI Secrets Store permet à un pirate informatique disposant d'autorisations de création de pod et de secret dans un espace de noms d'extraire le jeton de compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod.

Que dois-je faire ?

Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous êtes peut-être concerné. Pour obtenir des instructions concernant le fournisseur Secret Manager Open Source, consultez l'onglet GKE.

Les clusters GDC (bare metal) ne sont pas concernés, car ils n'offrent pas de module complémentaire géré. Aucune autre action n'est donc requise.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 23/01/2025:le code des versions suivantes de GKE a été mis à jour pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures:

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.2081000
• 1.28.15-gke.1480000
• 1.29.12-gke.1055000
• 1.30.8-gke.1051000
• 1.31.4-gke.1072000
• 1.32.0-gke.1448000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 23/01/2025:le code des versions suivantes de GKE a été mis à jour pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures:

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.1836000
• 1.28.15-gke.1342000
• 1.29.11-gke.1012000
• 1.30.7-gke.1077000
• 1.31.3-gke.1056000
• 1.32.0-gke.1448000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Que dois-je faire ?

Mise à jour du 22/01/2025:le code des versions suivantes de GDC (VMware) a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters GDC (VMware) vers les versions suivantes ou ultérieures:

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Mise à jour du 23 janvier 2025:mise à jour de la section Ressources concernées.

Mise à jour du 8 janvier 2025 : la date et l'heure de début réelles du problème étaient le 4 décembre 2024 à 22h47 UTC.

Un problème de sécurité a été introduit le 08/12/2024 à 13:44 UTC et résolu le 04/01/2025 à 04:00 UTC. Ce problème de sécurité affectait les ressources des VPC avec une passerelle multiclusters (MCG) GKE configurée. MCG est une fonctionnalité facultative utilisée par un petit sous-ensemble de clients GKE. Nous informons individuellement les clients qui avaient activé cette fonctionnalité pendant cette période.

La passerelle multicluster (MCG, Multi-Cluster Gateway) est une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic entre plusieurs clusters. Pour effectuer cette fonction, MCG doit apporter des modifications au pare-feu Google Cloud au niveau du projet. Une erreur dans MCG a entraîné la création d'une règle de pare-feu d'entrée qui autorisait le trafic TCP vers toutes les adresses IP (0.0.0.0/0) et tous les ports du VPC. Des mesures ont été prises pour éviter que ce type d'erreur ne se reproduise.

Étant donné que le pare-feu est une liste d'autorisation au niveau du VPC, les types de ressources suivants ont peut-être été accessibles au réseau pendant la période considérée:

• Applications client exécutées sur des nœuds de travail GKE accessibles via des adresses IP publiques.
• Applications client exécutées sur des machines virtuelles (VM) Compute Engine avec des adresses IP publiques
• Toutes les autres Google Cloud ressources du même VPC que le cluster avec des adresses IP publiques et des ports d'écoute.

Les nœuds de calcul GKE, les VM Compute Engine et d'autres ressources qui n'utilisaient que des adresses IP privées auraient pu être plus largement accessibles dans leur VPC, mais pas sur Internet. Les applications protégées par les mécanismes suivants auraient réduit ou éliminé leur exposition:

• Règles de pare-feu DENY de priorité égale ou supérieure (par défaut, MCG définit la priorité des règles de pare-feu sur 1 000)
• Maillage de services utilisant l'autorisation basée sur l'identité
• Autorisation au niveau de l'application

Ressources concernées

Mise à jour du 23 janvier 2025:les flottes (ou hubs) GKE qui utilisent MCG dans des projets de service de VPC partagé ne sont pas concernées par le problème, car les règles de pare-feu ne sont pas gérées à partir de ces projets.

Les ressources situées dans des VPC avec un MCG GKE configuré et écoutant des adresses IP publiques ont été affectées. Les ressources concernées incluent, mais sans s'y limiter, les applications exécutées sur des nœuds de travail GKE.

Que dois-je faire ?

Le problème a été résolu dans tous les VPC concernés en corrigeant la configuration incorrecte du pare-feu. Les règles créées par erreur ont été automatiquement modifiées avec les plages sources appropriées (130.211.0.0/22, 35.191.0.0/16) pour autoriser le trafic entrant provenant de l'infrastructure de vérification de l'état Google Cloud et, éventuellement, les plages de sous-réseaux proxy uniquement pour les passerelles internes. Pour en savoir plus sur les règles de pare-feu créées automatiquement par MCG dans vos projets, consultez la section Règles de pare-feu GKE Gateway.

Vous pouvez éventuellement confirmer la résolution en vérifiant les règles de pare-feu gérées sur les VPC à l'aide de GKE MCG. Vérifiez qu'une plage source est définie sur les règles de pare-feu gérées qui utilisent le préfixe gkemcg1-l7-. Examinez ces règles et vérifiez qu'une plage de sources est définie.

Pour lister les règles de pare-feu gérées par MCG dans votre environnement actuel, exécutez la commande suivante:

gcloud compute firewall-rules list --format="json" --filter="name:gkemcg1-l7-*" | jq -r '.[] | "\(.name): \(.sourceRanges // "No source range")"' | awk -F: '{if ($2 ~ /No source range|^\s*$/) print "Rule "$1" has an EMPTY or MISSING source range."; else print "Rule "$1" has source range(s): "$2;}'

Pour rechercher dans les journaux les mises à jour des configurations de pare-feu gérées par MCG, utilisez l'explorateur de journaux avec la requête ci-dessous:

protoPayload.serviceName="compute.googleapis.com"
          resource.type="gce_firewall_rule"
          protoPayload.resourceName=~"projects/[^/]+/global/firewalls/gkemcg1-"
          -operation.last="true"

Pour lister les règles de pare-feu gérées par le MCG dans votre organisation, exécutez la commande suivante pour interroger Cloud Asset Inventory:

gcloud asset search-all-resources
          --scope='organizations/'
          --asset-types='compute.googleapis.com/Firewall'
          --query 'name: //compute.googleapis.com/projects/*/*/firewalls/gkemcg*'

Les contrôles supplémentaires suivants offrent une défense en profondeur contre les réseaux non approuvés et peuvent être considérés comme renforçant la posture de sécurité:

• Utilisez des nœuds GKE privés pour vous assurer que vos nœuds ne reçoivent que des adresses IP privées.
• Dans la mesure du possible, utilisez des stratégies de pare-feu DENY explicites.
• Utilisez une stratégie de pare-feu hiérarchique pour remplacer les configurations de pare-feu au niveau du VPC.
• Utilisez Cloud Service Mesh pour fournir l'authentification et l'autorisation.
• Utilisez l'authentification et l'autorisation dans l'application.
• Utilisez le service de règles d'administration pour bloquer les règles de pare-feu qui autorisent tout le trafic. Pour ce faire, créez une contrainte pour refuser toutes les règles de pare-feu de trafic, puis appliquez-la avec une stratégie.

Nous vous recommandons d'examiner les configurations et les journaux pour identifier les applications ou services qui auraient pu être exposés pendant la période mentionnée précédemment, mais qui ne devaient pas l'être. Vous pouvez utiliser les outils suivants pour vérifier le trafic entrant vers vos ressources exécutées dans Google Cloud:

• Journaux de flux VPC pour une visibilité sur le débit et les performances du réseau
• Cloud Logging pour rechercher et analyser les données et les événements de journalisation des Google Cloud services et applications configurés pour envoyer des journaux
• La journalisation des règles de pare-feu pour auditer, vérifier et analyser les effets de vos règles de pare-feu
• Security Command Center pour obtenir une visibilité sur les résultats de sécurité indiquant une activité réseau suspecte
• Vos journaux d'application

Un problème de sécurité a été détecté et affecte la passerelle multicluster (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters.

Les clusters GDC (VMware) ne sont pas compatibles avec MCG et ne sont pas affectés.

Que dois-je faire ?

Aucune action n'est requise.

Un problème de sécurité a été détecté et affecte la passerelle multicluster (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters.

Les clusters GKE sur AWS ne sont pas compatibles avec MCG et ne sont pas affectés.

Que dois-je faire ?

Aucune action n'est requise.

Un problème de sécurité a été détecté et affecte la passerelle multicluster (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters.

Les clusters GKE sur Azure ne sont pas compatibles avec MCG et ne sont pas affectés.

Que dois-je faire ?

Aucune action n'est requise.

Un problème de sécurité a été détecté et affecte la passerelle multicluster (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters.

Les clusters GDC (bare metal) ne sont pas compatibles avec le MCG et ne sont pas concernés.

Que dois-je faire ?

Aucune action n'est requise.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 12/12/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.28.15-gke.1342000
• 1.29.10-gke.1280000
• 1.30.6-gke.1596000
• 1.31.3-gke.1023000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.1576000
• 1.28.14-gke.1217000
• 1.29.9-gke.1496000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Que dois-je faire ?

Mise à jour du 22/01/2025:le code des versions suivantes de GDC (VMware) a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters GDC (VMware) vers les versions suivantes ou ultérieures:

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Un problème de sécurité détecté dans les clusters Kubernetes peut entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt git est construit de manière malveillante, un utilisateur autorisé à créer un pod et à associer un volume gitRepo peut exécuter des commandes arbitraires au-delà de la limite du conteneur.

Que dois-je faire ?

Mettez à niveau votre cluster GKE et vos pools de nœuds vers une version corrigée. Les versions suivantes de GKE ont été mises à jour pour corriger cette faille:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers une version GKE avec correctifs. Les canaux de publication de GKE vous permettent d'appliquer des correctifs sans avoir à vous désabonner ni à changer de canal de publication. Cela vous permet de sécuriser votre cluster et vos nœuds avant que la nouvelle version ne devienne la version par défaut sur le canal de publication sélectionné.

Quelles failles ce correctif permet-il de résoudre ?

CVE-2024-10220 permet à un pirate informatique de créer un pod et d'associer un volume gitRepo pour exécuter des commandes arbitraires au-delà de la limite du conteneur.

Un problème de sécurité détecté dans les clusters Kubernetes peut entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt git est construit de manière malveillante, un utilisateur autorisé à créer un pod et à associer un volume gitRepo peut exécuter des commandes arbitraires au-delà de la limite du conteneur.

Que dois-je faire ?

Un problème de sécurité détecté dans les clusters Kubernetes peut entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt git est construit de manière malveillante, un utilisateur autorisé à créer un pod et à associer un volume gitRepo peut exécuter des commandes arbitraires au-delà de la limite du conteneur.

Que dois-je faire ?

Un problème de sécurité détecté dans les clusters Kubernetes peut entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt git est construit de manière malveillante, un utilisateur autorisé à créer un pod et à associer un volume gitRepo peut exécuter des commandes arbitraires au-delà de la limite du conteneur.

Que dois-je faire ?

Un problème de sécurité détecté dans les clusters Kubernetes peut entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt git est construit de manière malveillante, un utilisateur autorisé à créer un pod et à associer un volume gitRepo peut exécuter des commandes arbitraires au-delà de la limite du conteneur.

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 19/11/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1784000
• 1.28.15-gke.1080000
• 1.29.10-gke.1155000
• 1.30.6-gke.1059000
• 1.31.2-gke.1354000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.1478000
• 1.28.14-gke.1099000
• 1.29.9-gke.1177000
• 1.30.5-gke.1145000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Que dois-je faire ?

Mise à jour du 15/10/2024:le code des versions suivantes de GDC (VMware) a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters GDC (VMware) vers les versions suivantes ou ultérieures:

• 1.30.100-gke.96
• 1.29.600-gke.109
• 1.28.1000-gke.59

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter.

GKE n'utilise pas le système d'impression CUPS et n'est pas affecté.

Que dois-je faire ?

Aucune action requise

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter.

Le logiciel GDC pour VMware n'utilise pas le système d'impression CUPS et n'est pas concerné.

Que dois-je faire ?

Aucune action requise

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter.

GKE sur AWS n'utilise pas le système d'impression CUPS et n'est pas affecté.

Que dois-je faire ?

Aucune action requise

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter.

GKE sur Azure n'utilise pas le système d'impression CUPS et n'est pas affecté.

Que dois-je faire ?

Aucune action requise

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter.

Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Que dois-je faire ?

Aucune action requise

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneurs et où les utilisateurs AUTHORITY\Authenticated peuvent modifier les journaux de conteneurs.

Tout environnement Kubernetes avec des nœuds Windows est concerné. Exécutez kubectl get nodes -l kubernetes.io/os=windows pour voir si des nœuds Windows sont utilisés.

Versions de GKE concernées

• 1.27.15 et versions antérieures
• 1.28.11 et versions antérieures
• 1.29.6 et versions antérieures
• 1.30.2 et versions antérieures

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes ou une version ultérieure :

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Quelles failles sont corrigées ?

CVE-2024-5321

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneur, et où les utilisateurs AUTHORITY\Authenticated peuvent modifier les journaux de conteneur.

Tout environnement Kubernetes avec des nœuds Windows est concerné. Exécutez kubectl get nodes -l kubernetes.io/os=windows pour voir si des nœuds Windows sont utilisés.

Que dois-je faire ?

Les versions de correctif pour le logiciel GDC pour VMware sont en cours. Nous mettrons à jour ce bulletin avec ces informations dès qu'elles seront disponibles.

Quelles failles sont corrigées ?

CVE-2024-5321

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneurs et où les utilisateurs AUTHORITY\Authenticated peuvent modifier les journaux de conteneurs.

Les clusters GKE sur AWS ne sont pas compatibles avec les nœuds Windows et ne sont donc pas affectés.

Que dois-je faire ?

Aucune action requise

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneurs et où les utilisateurs AUTHORITY\Authenticated peuvent modifier les journaux de conteneurs.

Les clusters GKE sur Azure ne sont pas compatibles avec les nœuds Windows et ne sont pas concernés.

Que dois-je faire ?

Aucune action requise

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneurs et où les utilisateurs AUTHORITY\Authenticated peuvent modifier les journaux de conteneurs.

Le logiciel GDC pour les clusters Bare Metal n'est pas compatible avec les nœuds Windows et n'est pas affecté.

Que dois-je faire ?

Aucune action requise

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus.

Que dois-je faire ?

GKE n'est pas compatible avec IPv6 sous Windows et n'est pas affecté par cette faille CVE. Aucune action n'est requise.

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus.

Que dois-je faire ?

Le logiciel GDC pour VMware n'est pas compatible avec IPv6 sous Windows et n'est pas affecté par cette faille CVE. Aucune action n'est requise.

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus.

Que dois-je faire ?

GKE sur AWS n'est pas affecté par cette faille CVE. Aucune action n'est requise.

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus.

Que dois-je faire ?

GKE sur Azure n'est pas affecté par cette faille CVE. Aucune action n'est requise.

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus.

Que dois-je faire ?

GDC (bare metal) n'est pas affecté par cette faille CVE. Aucune action n'est requise.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 01/11/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou versions ultérieures :

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Que dois-je faire ?

Mise à jour du 21/10/2024:le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.28.1100-gke.91
• 1.30.200-gke.101
• 1.29.600-gke.109

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 30/10/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou versions ultérieures :

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Que dois-je faire ?

Mise à jour du 25/10/2024:le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.700-gke.110
• 1.28.1100-gke.91
• 1.30.200-gke.101

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 30/10/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Que dois-je faire ?

Mise à jour du 21/10/2024:le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/08/2024 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds d'OS optimisé pour les conteneurs vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Que dois-je faire ?

Mise à jour du 19/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.400
• 1.28.900

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 30/10/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds d'OS optimisé pour les conteneurs vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Que dois-je faire ?

Mise à jour du 21/10/2024:le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 02/10/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1287000
• 1.28.13-gke.1042000
• 1.29.8-gke.1096000
• 1.30.4-gke.1476000
• 1.30.4-gke.1476000
• 1.31.0-gke.1577000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Que dois-je faire ?

Mise à jour du 20/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.30.200
• 1.29.500
• 1.28.1000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Mise à jour du 18/07/2024 : La version originale de ce bulletin indiquait à tort que les clusters Autopilot étaient concernés. Les clusters Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez la fonctionnalité CAP_NET_ADMIN.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 19/07/2024 : les versions suivantes de GKE contiennent du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Que dois-je faire ?

Mise à jour du 16/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.200
• 1.28.700
• 1.16.11

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Mise à jour du 03/07/2024 : un déploiement accéléré est en cours et devrait rendre les nouvelles versions de correctif disponibles dans toutes les zones d'ici le 3 juillet 2024 à 17h, heure avancée du Pacifique des États-Unis et du Canada (UTC-7). Pour recevoir une notification dès qu'un correctif est disponible pour votre cluster spécifique, utilisez les notifications de cluster.

Mise à jour du 02/07/2024 : cette faille affecte les clusters en mode Autopilot et en mode Standard. Chaque section suivante indique les modes auxquels elle s'applique.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Toutes les versions compatibles des images Container-Optimized OS et Ubuntu sur GKE exécutent des versions d'OpenSSH vulnérables à ce problème.

Les clusters GKE dont les adresses IP de nœuds publics et le protocole SSH sont exposés à Internet doivent être traités en priorité pour atténuer le problème.

Le plan de contrôle GKE n'est pas affecté par ce problème.

Que dois-je faire ?

Mise à jour du 03/07/2024 : versions de correctif pour GKE

Un déploiement accéléré est en cours. Les nouvelles versions de correctif devraient être disponibles dans toutes les zones d'ici le 3 juillet 2024 à 17h00 (heure avancée du Pacifique des États-Unis et du Canada, UTC-7).

Les clusters et les nœuds pour lesquels la mise à niveau automatique est activée commenceront à être mis à niveau au cours de la semaine. Toutefois, en raison de la gravité de la faille, nous vous recommandons de procéder à la mise à niveau manuellement comme indiqué ci-dessous afin d'obtenir les correctifs le plus rapidement possible.

Pour les clusters Autopilot et Standard, mettez à niveau votre plan de contrôle vers une version corrigée. De plus, pour les clusters en mode standard, mettez à niveau vos pools de nœuds vers une version corrigée. Les clusters Autopilot commenceront à mettre à niveau vos nœuds pour qu'ils correspondent à la version du plan de contrôle dès que possible.

Les versions de GKE avec correctif sont disponibles pour chaque version compatible afin de réduire au minimum les modifications nécessaires à l'application du correctif. Le numéro de version de chaque nouvelle version est un incrément du dernier chiffre du numéro de version précédent. Par exemple, si vous utilisez la version 1.27.14-gke.1100000, vous passerez à la version 1.27.14-gke.1100002 pour obtenir le correctif avec la modification la plus petite possible. Les versions GKE avec correctifs suivantes sont disponibles :

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Pour vérifier si un correctif est disponible dans la zone ou la région de votre cluster, exécutez la commande suivante :

gcloud container get-server-config --location=LOCATION

Remplacez LOCATION par votre zone ou région.

Mise à jour du 02/07/2024 : les clusters en mode Autopilot et en mode Standard doivent être mis à niveau dès que les versions de correctifs sont disponibles.

Une version de GKE avec correctifs incluant une mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Pour recevoir une notification Pub/Sub lorsqu'un correctif est disponible pour votre canal, activez les notifications de cluster. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de votre cluster et d'appliquer les mesures d'atténuation décrites, si nécessaire.

Déterminer si vos nœuds disposent d'adresses IP publiques

Mise à jour du 02/07/2024 : cette section s'applique aux clusters Autopilot et Standard.

Si un cluster est créé avec enable-private-nodes, les nœuds sont privés, ce qui atténue la vulnérabilité en supprimant l'exposition à Internet. Exécutez la commande suivante pour déterminer si les nœuds privés sont activés dans votre cluster :

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Si la valeur renvoyée est "True", tous les nœuds sont des nœuds privés pour ce cluster et la faille est atténuée. Si la valeur est vide ou fausse, continuez à appliquer l'une des mesures d'atténuation décrites dans les sections suivantes.

Pour rechercher tous les clusters créés à l'origine avec des nœuds publics, utilisez cette requête d'inventaire des éléments cloud dans le projet ou l'organisation :

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Interdire l'accès SSH aux nœuds du cluster

Mise à jour du 02/07/2024 : cette section s'applique aux clusters Autopilot et Standard.

Le réseau par défaut est prérempli avec une règle de pare-feu default-allow-ssh pour autoriser l'accès SSH depuis l'Internet public. Pour supprimer cet accès, vous pouvez :

• Si vous le souhaitez, créer des règles pour autoriser tout accès SSH dont vous avez besoin depuis des réseaux de confiance vers des nœuds GKE ou d'autres VM Compute Engine du projet.
• Désactiver la règle de pare-feu par défaut à l'aide de la commande suivante:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Si vous avez créé d'autres règles de pare-feu pouvant autoriser SSH via TCP sur le port 22, désactivez-les ou limitez les adresses IP sources aux réseaux de confiance.

Vérifiez que vous ne pouvez plus vous connecter en SSH aux nœuds du cluster depuis Internet. Cette configuration de pare-feu atténue la faille.

Convertir des pools de nœuds publics en pools privés

Mise à jour du 02/07/2024 : pour les clusters Autopilot créés à l'origine en tant que clusters publics, vous pouvez placer vos charges de travail sur des nœuds privés à l'aide de nodeSelectors. Toutefois, les nœuds Autopilot qui exécutent des charges de travail système sur des clusters initialement créés en tant que clusters publics resteront des nœuds publics et doivent être protégés à l'aide des modifications de pare-feu décrites dans la section précédente.

Pour mieux protéger les clusters créés à l'origine avec des nœuds publics, nous vous recommandons de commencer par désactiver SSH via le pare-feu, comme décrit précédemment. Si vous ne parvenez pas à interdire le protocole SSH via les règles de pare-feu, vous pouvez convertir les pools de nœuds publics des clusters GKE Standard en pools privés en suivant ces instructions pour isoler les pools de nœuds.

Modifier la configuration de SSHD

Mise à jour du 02/07/2024 : cette section ne s'applique qu'aux clusters standards. Les charges de travail Autopilot ne sont pas autorisées à modifier la configuration des nœuds.

Si aucune de ces mesures d'atténuation ne peut être appliquée, nous avons également publié un daemonset qui définit SSHD LoginGraceTime sur zéro et redémarre le daemon SSH. Ce daemonset peut être appliqué au cluster pour atténuer l'attaque. Notez que cette configuration peut augmenter le risque d'attaques de déni de service et peut entraîner des problèmes d'accès SSH légitime. Ce daemonset doit être supprimé une fois qu'un correctif a été appliqué.

Mise à jour du 11/07/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre poste de travail administrateur, vos clusters d'administrateur et vos clusters d'utilisateurs (y compris les pools de nœuds) vers l'une des versions suivantes ou une version ultérieure. Pour obtenir des instructions, consultez la section Mettre à niveau un cluster ou un pool de nœuds.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

La mise à jour du 02/07/2024 de ce bulletin indiquait à tort que toutes les versions compatibles des images Ubuntu sur le logiciel GDC pour VMware exécutent des versions d'OpenSSH vulnérables à ce problème. Les images Ubuntu sur le logiciel GDC pour les clusters VMware version 1.16 exécutent des versions d'OpenSSH qui ne sont pas vulnérables à ce problème. Les images Ubuntu du logiciel GDC pour VMware 1.28 et 1.29 sont vulnérables. Les images Container-Optimized OS sur toutes les versions compatibles du logiciel GDC pour VMware sont vulnérables à ce problème.

Mise à jour du 02/07/2024 : toutes les versions compatibles d'images Container-Optimized OS et Ubuntu sur le logiciel GDC pour VMware exécutent des versions d'OpenSSH vulnérables à ce problème.

Les logiciels GDC pour les clusters VMware avec des adresses IP de nœuds publiques et SSH exposés à Internet doivent être traités en priorité pour l'atténuation.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024 : une version du logiciel GDC pour VMware avec un correctif incluant une mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Nous vous recommandons d'appliquer les mesures d'atténuation suivantes si nécessaire.

Interdire l'accès SSH aux nœuds du cluster

Vous pouvez modifier la configuration réseau de votre infrastructure pour interdire la connectivité SSH à partir de sources non fiables, telles que l'Internet public.

Modifier la configuration de sshd

Si vous ne pouvez pas appliquer la solution de contournement précédente, nous avons publié un DaemonSet qui définit le LoginGraceTime sshd sur zéro et redémarre le daemon SSH. Ce DaemonSet peut être appliqué au cluster pour atténuer l'attaque. Notez que cette configuration peut augmenter le risque d'attaques de déni de service et peut entraîner des problèmes d'accès SSH légitime. Supprimez ce DaemonSet après l'application d'un correctif.

Mise à jour du 11/07/2024 : le code des versions suivantes de GKE sur AWS a été mis à jour pour corriger cette faille :

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Mettez à niveau votre plan de contrôle et vos pools de nœuds GKE sur AWS vers l'une des versions corrigées suivantes ou ultérieures. Pour obtenir des instructions, consultez les pages Mettre à niveau la version de votre cluster AWS et Mettre à jour un pool de nœuds.

Mise à jour du 02/07/2024 : toutes les versions compatibles des images Ubuntu sur GKE sur AWS exécutent des versions d'OpenSSH vulnérables à ce problème.

Les clusters GKE sur AWS avec des adresses IP de nœud publiques et SSH exposés à Internet doivent être traités en priorité pour atténuer le problème.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024 : une version de GKE sur AWS avec correctifs incluant une mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de votre cluster et d'appliquer les mesures d'atténuation décrites si nécessaire.

Déterminer si vos nœuds disposent d'adresses IP publiques

GKE sur AWS ne provisionne aucune machine avec des adresses IP publiques ni avec des règles de pare-feu autorisant le trafic vers le port 22 par défaut. Toutefois, en fonction de votre configuration de sous-réseau, les machines peuvent obtenir automatiquement une adresse IP publique lors du provisionnement.

Pour vérifier si des adresses IP publiques sont provisionnées pour les nœuds, examinez la configuration du sous-réseau associé à votre ressource de pool de nœuds AWS.

Interdire l'accès SSH aux nœuds du cluster

Bien que GKE sur AWS n'autorise pas le trafic sur le port 22 sur un nœud par défaut, les clients peuvent associer des groupes de sécurité supplémentaires aux pools de nœuds, ce qui permet d'activer le trafic SSH entrant.

Nous vous recommandons de supprimer ou de réduire la portée des règles correspondantes des groupes de sécurité fournis.

Convertir des pools de nœuds publics en pools privés

Pour mieux protéger les clusters avec des nœuds publics, nous vous recommandons d'abord d'interdire SSH via votre groupe de sécurité, comme décrit dans la section précédente. Si vous ne pouvez pas désactiver le protocole SSH via les règles de groupe de sécurité, vous pouvez convertir des pools de nœuds publics en pools privés en désactivant l'option permettant d'attribuer automatiquement des adresses IP publiques aux machines d'un sous-réseau et en réprovisionnant le pool de nœuds.

Mise à jour du 11/07/2024 : le code des versions suivantes de GKE sur Azure a été mis à jour pour corriger cette faille :

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Mettez à niveau votre plan de contrôle et vos pools de nœuds GKE sur Azure vers l'une de ces versions corrigées ou ultérieures. Pour obtenir des instructions, consultez les pages Mettre à niveau la version de votre cluster Azure et Mettre à jour un pool de nœuds.

Mise à jour du 02/07/2024 : toutes les versions compatibles des images Ubuntu sur GKE sur Azure exécutent des versions d'OpenSSH vulnérables à ce problème.

Les clusters GKE sur Azure avec des adresses IP de nœud publiques et SSH exposés à Internet doivent être traités en priorité pour atténuer le risque.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024 : une version de GKE sur Azure avec correctifs incluant une mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de votre cluster et d'appliquer les mesures d'atténuation décrites si nécessaire.

Déterminer si vos nœuds disposent d'adresses IP publiques

GKE sur Azure ne provisionne aucune machine avec des adresses IP publiques ni avec des règles de pare-feu qui autorisent le trafic vers le port 22 par défaut. Pour vérifier si des adresses IP publiques sont configurées sur votre cluster GKE sur Azure, exécutez la commande suivante :

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

Interdire l'accès SSH aux nœuds du cluster

Même si GKE sur Azure n'autorise pas le trafic sur le port 22 sur un nœud par défaut, les clients peuvent mettre à jour les règles NetworkSecurityGroup vers des pools de nœuds, ce qui permet d'activer le trafic SSH entrant depuis l'Internet public.

Nous vous recommandons vivement d'examiner les groupes de sécurité réseau (NSG, Network Security Group) associés à vos clusters Kubernetes. Si une règle de NSG autorise le trafic entrant sans restriction sur le port 22 (SSH), procédez comme suit :

• Supprimer complètement la règle : si l'accès SSH aux nœuds du cluster n'est pas requis depuis Internet, supprimez la règle pour éliminer les vecteurs d'attaque potentiels.
• Réduisez la portée de la règle : restreignez l'accès entrant sur le port 22 aux adresses IP ou aux plages d'adresses IP spécifiques qui l'exigent. Cela réduit la surface exposée aux attaques potentielles.

Convertir des pools de nœuds publics en pools privés

Pour mieux protéger les clusters avec des nœuds publics, nous vous recommandons d'abord d'interdire SSH via votre groupe de sécurité, comme décrit dans la section précédente. Si vous ne pouvez pas désactiver le protocole SSH via les règles du groupe de sécurité, vous pouvez convertir des pools de nœuds publics en pools privés en supprimant les adresses IP publiques associées aux VM.

Pour supprimer une adresse IP publique d'une VM et la remplacer par une configuration d'adresse IP privée, consultez la section Dissocier une adresse IP publique d'une VM Azure.

Impact : toutes les connexions existantes utilisant l'adresse IP publique seront interrompues. Assurez-vous de disposer d'autres méthodes d'accès, comme un VPN ou Azure Bastion.

Mise à jour du 02/07/2024 : la version d'origine de ce bulletin concernant le logiciel GDC pour bare metal indiquait à tort que des versions de correctif étaient en cours. Le logiciel GDC pour Bare Metal n'est pas directement affecté, car il ne gère pas le daemon ou la configuration SSH du système d'exploitation. Les versions de correctif relèvent donc de la responsabilité du fournisseur du système d'exploitation, comme décrit dans la section Que dois-je faire ?.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024 : contactez votre fournisseur de système d'exploitation pour obtenir un correctif pour les systèmes d'exploitation utilisés avec le logiciel GDC pour Bare Metal.

En attendant d'appliquer le correctif du fournisseur d'OS, assurez-vous que les machines accessibles au public n'autorisent pas les connexions SSH depuis Internet. Si cela n'est pas possible, vous pouvez également définir LoginGraceTime sur zéro et redémarrer le serveur sshd :

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Notez que cette modification de configuration peut augmenter le risque d'attaques de déni de service et entraîner des problèmes d'accès SSH légitime.

Texte d'origine du 01/07/2024 (voir la mise à jour précédente du 02/07/2024 pour obtenir la version corrigée) :

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 20/08/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Que dois-je faire ?

Mise à jour du 25/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.400
• 1.28.900

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 06/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Que dois-je faire ?

Mise à jour du 17/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.400
• 1.28.800
• 1.16.11

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 18/07/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

La version suivante de GKE est mise à jour avec du code pour corriger cette faille sur Container-Optimized OS. Mettez à niveau vos pools de nœuds Container-Optimized OS vers la version de correctif suivante ou une version ultérieure :

• 1.27.15-gke.1125000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Les versions mineures suivantes sont concernées, mais aucune version de correctif n'est disponible. Nous mettrons à jour ce bulletin lorsque les versions de correctif seront disponibles :

• 1,26
• 1.27

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 10/07/2024 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieures :

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Pour les versions mineures 1.26 et 1.27, mettez à niveau vos pools de nœuds de Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Que dois-je faire ?

Mise à jour du 26/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.28.900-gke.113
• 1.29.400-gke.8

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE n'utilise pas de version vulnérable de Fluent Bit et n'est pas concerné.

Que dois-je faire ?

GKE n'est pas concerné par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE sur VMware n'utilise pas de version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE sur VMware n'est pas affecté par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE sur AWS n'utilise pas de version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE sur AWS n'est pas concerné par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE sur Azure n'utilise pas de version vulnérable de Fluent Bit et n'est pas concerné.

Que dois-je faire ?

GKE sur Azure n'est pas concerné par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE on Bare Metal n'utilise pas de version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE on Bare Metal n'est pas affecté par cette faille. Vous n'avez rien à faire.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 18/07/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 19/08/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 05/22/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Mise à jour du 9 mai 2024: gravité corrigée de "Moyenne" à "Élevée". Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez CAP_NET_ADMIN.

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 15/05/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Que dois-je faire ?

Mise à jour du 25/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.28.600
• 1.16.9

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Mise à jour du 9 mai 2024 : gravité corrigée de "Moyenne" à "Élevée".

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 06/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 18/07/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE). Les clusters GKE avec des réseaux autorisés configurés sont protégés en limitant l'accès au réseau, mais tous les autres clusters sont concernés.

Les clusters GKE Autopilot et Standard sont affectés.

Que dois-je faire ?

Mise à jour du 24/04/2024: ajout de versions de correctif pour GKE.

Les versions suivantes de GKE incluent les correctifs de sécurité Golang pour corriger cette faille. Mettez à niveau vos clusters GKE vers les versions suivantes ou ultérieures :

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance.

Pour atténuer ce problème, configurez des réseaux autorisés pour l'accès au plan de contrôle :

Vous pouvez protéger vos clusters contre cette classe d'attaques en configurant des réseaux autorisés. Suivez les instructions pour activer les réseaux autorisés pour un cluster existant.

Pour en savoir plus sur la façon dont les réseaux autorisés contrôlent l'accès au plan de contrôle, consultez la section Fonctionnement des réseaux autorisés. Pour afficher l'accès réseau autorisé par défaut, consultez le tableau de la section Accès aux points de terminaison du plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Mise à jour du 17/07/2024: Ajout de versions de correctif pour GKE sur VMware.

Les versions suivantes de GKE sur VMware incluent du code pour corriger cette faille. Mettez à niveau vos clusters GKE sur VMware vers les versions suivantes ou ultérieures :

• 1.29.0
• 1.28.500
• 1.16.8

Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE sur VMware intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE sur AWS intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE sur Azure intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE).

Que dois-je faire ?

Mise à jour du 09/07/2024 : ajout de versions de correctif pour GKE on Bare Metal.

Les versions suivantes de GKE on Bare Metal incluent du code pour corriger cette faille. Mettez à niveau vos clusters GKE on Bare Metal vers les versions suivantes ou ultérieures :

• 1.29.100
• 1.28.600
• 1.16.9

Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE on Bare Metal intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 06/05/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Mise à jour du 04/04/2024 : correction des versions minimales pour les pools de nœuds GKE Container-Optimized OS.

Les versions minimales de GKE contenant les correctifs pour Container-Optimized OS listées précédemment étaient incorrectes. Les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Container-Optimized OS. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Que dois-je faire ?

Mise à jour du 17/04/2024: Ajout de versions de correctif pour GKE sur VMware.

Les versions suivantes de GKE sur VMware sont mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures :

• 1.28.200
• 1.16.6
• 1.15.10

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les droits d'administrateur sur ces nœuds.

Les clusters GKE Standard exécutant des nœuds Windows Server et utilisant un plug-in de stockage dans l'arborescence peuvent être concernés.

Les clusters GKE Autopilot et les pools de nœuds GKE utilisant GKE Sandbox ne sont pas affectés, car ils ne sont pas compatibles avec les nœuds Windows Server.

Que dois-je faire ?

Déterminez si des nœuds Windows Server sont utilisés sur vos clusters :

kubectl get nodes -l kubernetes.io/os=windows

Vérifiez les journaux d'audit pour détecter toute preuve d'exploitation. Les journaux d'audit Kubernetes peuvent être audités pour déterminer si cette faille est exploitée. Les événements de création de volumes persistants avec des champs de chemin d'accès locaux contenant des caractères spéciaux sont un signe fort d'exploitation.

Mettez à jour votre cluster GKE et vos pools de nœuds vers une version corrigée. Les versions suivantes de GKE ont été mises à jour pour corriger cette faille. Même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds Windows Server vers l'une des versions GKE suivantes ou une version ultérieure :

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les droits d'administrateur sur ces nœuds.

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les privilèges d'administrateur sur ces nœuds.

Les clusters GKE sur VMware exécutant des nœuds Windows Server et utilisant un plug-in de stockage dans l'arborescence peuvent être concernés.

Que dois-je faire ?

Déterminez si des nœuds Windows Server sont utilisés sur vos clusters :

kubectl get nodes -l kubernetes.io/os=windows

Vérifiez les journaux d'audit pour détecter toute preuve d'exploitation. Les journaux d'audit Kubernetes peuvent être audités pour déterminer si cette faille est exploitée. Les événements de création de volumes persistants avec des champs de chemin d'accès locaux contenant des caractères spéciaux sont un signe fort d'exploitation.

Mettez à jour votre cluster GKE sur VMware et vos pools de nœuds vers une version corrigée. Les versions suivantes de GKE sur VMware ont été mises à jour pour corriger cette faille. Même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds Windows Server vers l'une des versions de GKE sur VMware suivantes ou une version ultérieure :

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les privilèges d'administrateur sur ces nœuds.

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les privilèges d'administrateur sur ces nœuds.

Les clusters GKE sur AWS ne sont pas affectés.

Que dois-je faire ?

Aucune action requise

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les privilèges d'administrateur sur ces nœuds.

Les clusters GKE sur Azure ne sont pas affectés.

Que dois-je faire ?

Aucune action requise

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les privilèges d'administrateur sur ces nœuds.

Les clusters GKE on Bare Metal ne sont pas concernés.

Que dois-je faire ?

Aucune action requise

Une faille de sécurité, CVE-2024-21626, a été détectée dans runc, où un utilisateur autorisé à créer des pods sur les nœuds Container-Optimized OS et Ubuntu peut obtenir un accès complet au système de fichiers du nœud.

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 28/02/2024 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Mise à jour du 15/02/2024 : en raison d'un problème, les versions de correctif Ubuntu suivantes de la mise à jour du 14/02/2024 peuvent entraîner un état non fonctionnel de vos nœuds. Ne mettez pas à niveau vers les versions de correctif suivantes. Nous mettrons à jour ce bulletin lorsque de nouvelles versions de correctif pour Ubuntu seront disponibles pour les versions 1.25 et 1.26.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Si vous avez déjà effectué la mise à niveau vers l'une de ces versions de correctif, revenez manuellement à une version antérieure de votre canal de publication.

Mise à jour du 14/02/2024 : les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Mise à jour du 06/02/2024 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille dans Container-Optimized OS. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds de Container-Optimized OS vers l'une des versions de GKE suivantes ou une version ultérieure :

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Nous mettons à jour GKE avec du code pour corriger cette faille. Nous mettrons à jour ce bulletin lorsque les versions de correctif seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de créer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions runc antérieures aux correctifs publiés dans ce bulletin de sécurité, plusieurs descripteurs de fichiers ont été divulgués par inadvertance dans le processus runc init exécuté dans un conteneur. runc ne vérifiait pas non plus que le répertoire de travail final d'un conteneur se trouvait dans l'espace de noms d'installation du conteneur. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires peut utiliser une combinaison des descripteurs de fichier divulgués et du manque de validation du répertoire de travail pour accéder à l'espace de noms d'installation de l'hôte d'un nœud, et accéder à l'intégralité du système de fichiers de l'hôte et écraser des binaires arbitraires sur le nœud.

Une faille de sécurité, CVE-2024-21626, a été détectée dans runc, où un utilisateur autorisé à créer des pods sur les nœuds Container-Optimized OS et Ubuntu peut obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 06/03/2024 : le code des versions suivantes de GKE sur VMware a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures :

• 1.28.200
• 1.16.6
• 1.15.9

Les versions de correctif et l'évaluation de la gravité pour GKE sur VMware sont en cours. Nous mettrons à jour ce bulletin avec ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de créer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions runc antérieures aux correctifs publiés dans ce bulletin de sécurité, plusieurs descripteurs de fichiers ont été divulgués par inadvertance dans le processus runc init exécuté dans un conteneur. runc ne vérifiait pas non plus que le répertoire de travail final d'un conteneur se trouvait dans l'espace de noms d'installation du conteneur. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires peut utiliser une combinaison des descripteurs de fichier divulgués et du manque de validation du répertoire de travail pour accéder à l'espace de noms d'installation de l'hôte d'un nœud, et accéder à l'intégralité du système de fichiers de l'hôte et écraser des binaires arbitraires sur le nœud.

Une faille de sécurité, CVE-2024-21626, a été détectée dans runc, où un utilisateur autorisé à créer des pods sur les nœuds Container-Optimized OS et Ubuntu peut obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 06/05/2024 : les versions suivantes de GKE sur AWS ont été mises à jour avec des correctifs pour CVE-2024-21626 :

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Les versions de correctif et l'évaluation de la gravité pour GKE sur AWS sont en cours. Nous mettrons à jour ce bulletin avec ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de créer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions runc antérieures aux correctifs publiés dans ce bulletin de sécurité, plusieurs descripteurs de fichiers ont été divulgués par inadvertance dans le processus runc init exécuté dans un conteneur. runc ne vérifiait pas non plus que le répertoire de travail final d'un conteneur se trouvait dans l'espace de noms d'installation du conteneur. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires peut utiliser une combinaison des descripteurs de fichier divulgués et du manque de validation du répertoire de travail pour accéder à l'espace de noms d'installation de l'hôte d'un nœud, et accéder à l'intégralité du système de fichiers de l'hôte et écraser des binaires arbitraires sur le nœud.

Une faille de sécurité, CVE-2024-21626, a été détectée dans runc, où un utilisateur autorisé à créer des pods sur les nœuds Container-Optimized OS et Ubuntu peut obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 06/05/2024 : les versions suivantes de GKE sur Azure ont été mises à jour avec des correctifs pour CVE-2024-21626 :

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Les versions de correctif et l'évaluation de la gravité pour GKE sur Azure sont en cours. Nous mettrons à jour ce bulletin avec ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de créer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions runc antérieures aux correctifs publiés dans ce bulletin de sécurité, plusieurs descripteurs de fichiers ont été divulgués par inadvertance dans le processus runc init exécuté dans un conteneur. runc ne vérifiait pas non plus que le répertoire de travail final d'un conteneur se trouvait dans l'espace de noms d'installation du conteneur. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires peut utiliser une combinaison des descripteurs de fichier divulgués et du manque de validation du répertoire de travail pour accéder à l'espace de noms d'installation de l'hôte d'un nœud, et accéder à l'intégralité du système de fichiers de l'hôte et écraser des binaires arbitraires sur le nœud.

Une faille de sécurité, CVE-2024-21626, a été détectée dans runc, où un utilisateur autorisé à créer des pods peut obtenir un accès complet au système de fichiers du nœud.

Que dois-je faire ?

Mise à jour du 02/04/2024 : le code des versions suivantes de GKE on Bare Metal a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures :

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Les versions de correctif et l'évaluation de la gravité pour GKE sur Bare Metal sont en cours. Nous mettrons à jour ce bulletin avec ces informations dès qu'elles seront disponibles.

Quelles failles ce correctif permet-il de résoudre ?

runc est un outil de bas niveau permettant de créer et d'exécuter des conteneurs Linux utilisés dans les pods Kubernetes. Dans les versions runc antérieures aux correctifs publiés dans ce bulletin de sécurité, plusieurs descripteurs de fichiers ont été divulgués par inadvertance dans le processus runc init exécuté dans un conteneur. runc ne vérifiait pas non plus que le répertoire de travail final d'un conteneur se trouvait dans l'espace de noms d'installation du conteneur. Une image de conteneur malveillante ou un utilisateur autorisé à exécuter des pods arbitraires peut utiliser une combinaison des descripteurs de fichier divulgués et du manque de validation du répertoire de travail pour accéder à l'espace de noms d'installation de l'hôte d'un nœud, et accéder à l'intégralité du système de fichiers de l'hôte et écraser des binaires arbitraires sur le nœud.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6817

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 07/02/2024 : les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6817

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6817

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6817

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6817

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Mise à jour du 26/01/2024 : une étude de sécurité a révélé qu'un petit nombre de clusters GKE présentaient une erreur de configuration créée par le client impliquant le groupe system:authenticated. L'article de blog du chercheur fait référence à 1 300 clusters avec des liaisons mal configurées et à 108 clusters avec des droits élevés. Nous avons travaillé en étroite collaboration avec les clients concernés pour les informer et les aider à supprimer leurs liaisons mal configurées.

Nous avons identifié plusieurs clusters dans lesquels des utilisateurs ont accordé des droits Kubernetes au groupe system:authenticated, qui inclut tous les utilisateurs disposant d'un compte Google. Ces types de liaisons ne sont pas recommandés, car ils enfreignent le principe du moindre privilège et accordent l'accès à de très grands groupes d'utilisateurs. Pour savoir comment trouver ces types de liaisons, consultez les conseils sous "Que dois-je faire ?".

Récemment, un chercheur en sécurité a signalé des clusters présentant des erreurs de configuration RBAC via notre programme de signalement des failles.

L'approche d'authentification de Google consiste à rendre l'authentification à Google Cloud et à GKE aussi simple et sécurisée que possible, sans ajouter de procédures de configuration complexes. L'authentification nous indique simplement qui est l'utilisateur. C'est l'autorisation qui détermine l'accès. Par conséquent, le groupe system:authenticated dans GKE qui contient tous les utilisateurs authentifiés via le fournisseur d'identité de Google fonctionne comme prévu et fonctionne de la même manière que l'identifiant allAuthenticatedUsers d'IAM.

Dans cette optique, nous avons pris plusieurs mesures pour réduire le risque que les utilisateurs commettent des erreurs d'autorisation avec les utilisateurs et les groupes intégrés Kubernetes, y compris system:anonymous, system:authenticated et system:unauthenticated. Tous ces utilisateurs/groupes représentent un risque pour le cluster s'ils sont autorisés. Nous avons évoqué certaines des activités des pirates informatiques ciblant les mauvaises configurations RBAC et les défenses disponibles lors du Kubecon de novembre 2023.

Pour protéger les utilisateurs contre les erreurs d'autorisation accidentelles avec ces utilisateurs/groupes système, nous avons mis en place les mesures suivantes :

• Blocage par défaut des nouvelles liaisons du ClusterRole hautement privilégié cluster-admin à l'utilisateur system:anonymous, au groupe system:authenticated ou au groupe system:unauthenticated dans GKE 1.28.
• Intégration de règles de détection dans Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) dans Security Command Center.
• Intégration de règles de prévention configurables dans Policy Controller avec K8sRestrictRoleBindings.
• Nous avons envoyé des notifications par e-mail à tous les utilisateurs GKE ayant des liaisons avec ces utilisateurs/groupes pour leur demander de vérifier leur configuration.
• Nous avons intégré des fonctionnalités d'autorisation réseau et proposé des recommandations pour limiter l'accès réseau aux clusters en tant que première couche de défense.
• Sensibilisation à ce problème lors d'une conférence à Kubecon en novembre 2023.

Les clusters qui appliquent des restrictions de réseaux autorisés disposent d'une première couche de défense : ils ne peuvent pas être attaqués directement depuis Internet. Nous vous recommandons toutefois de supprimer ces liaisons pour une défense en profondeur et pour vous prémunir contre les erreurs dans les commandes réseau.
Notez qu'il existe un certain nombre de cas où les liaisons avec les utilisateurs ou les groupes du système Kubernetes sont utilisées intentionnellement, par exemple, pour le bootstrapping kubeadm, le tableau de bord Rancher et les secrets scellés Bitnami. Nous avons vérifié avec ces fournisseurs de logiciels que ces liaisons fonctionnent comme prévu.

Nous étudions des moyens de mieux nous protéger contre les erreurs de configuration de l'RBAC utilisateur avec ces utilisateurs/groupes système grâce à la prévention et à la détection.

Que dois-je faire ?

Pour éviter toute nouvelle liaison de cluster-admin à l'utilisateur system:anonymous, au groupe system:authenticated ou au groupe system:unauthenticated, les utilisateurs peuvent passer à la version 1.28 ou ultérieure de GKE (notes de version), où la création de ces liaisons est bloquée.

Les liaisons existantes doivent être examinées en suivi de ces consignes.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-6111

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-6111

Que dois-je faire ?

Mise à jour du 20/02/2024 : les versions suivantes de GKE sur VMware sont mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures : 1.28.100

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-6111

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-6111

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-6111

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3609

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3609

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3609

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3609

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3609

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3389

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3389

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3389

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3389

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3389

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3090

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3090

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3090

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3090

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3090

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3390

Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez CAP_NET_ADMIN.

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.4-gke.400
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3390

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3390

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3390

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3390

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Un pirate informatique qui a compromis le conteneur de journalisation Fluent Bit peut combiner cet accès avec les privilèges élevés requis par Cloud Service Mesh (sur les clusters qui l'ont activé) pour accroître les privilèges dans le cluster. Les problèmes liés à Fluent Bit et à Cloud Service Mesh ont été atténués, et des correctifs sont désormais disponibles. Ces failles ne sont pas exploitables par elles-mêmes dans GKE et nécessitent une compromission initiale. Nous n'avons connaissance d'aucun cas d'exploitation de ces failles.

Ces problèmes ont été signalés via notre Programme de récompenses pour la détection de failles.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles dans Fluent Bit et pour les utilisateurs de Cloud Service Mesh géré. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions GKE suivantes ou une version ultérieure :

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Si votre cluster utilise Cloud Service Mesh dans le cluster, vous devez passer manuellement à la version suivante (notes de version) :

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour exploiter les failles décrites dans ce bulletin, un pirate informatique doit compromettre le conteneur de journalisation Fluent Bit. Nous ne sommes au courant d'aucune faille de sécurité existante dans Fluent Bit qui pourrait entraîner cette condition préalable à l'élévation de privilèges. Nous avons corrigé ces failles à titre de mesure de renforcement afin d'éviter une chaîne d'attaque complète potentielle à l'avenir.

GKE utilise Fluent Bit pour traiter les journaux des charges de travail exécutées sur des clusters. Fluent Bit sur GKE a également été configuré pour collecter les journaux des charges de travail Cloud Run. Le montage de volume configuré pour collecter ces journaux a donné à Fluent Bit accès aux jetons de compte de service Kubernetes pour d'autres pods exécutés sur le nœud. Le chercheur a utilisé cet accès pour découvrir un jeton de compte de service hautement privilégié pour les clusters sur lesquels Cloud Service Mesh est activé.

Cloud Service Mesh nécessitait des droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour étendre ses droits d'accès initialement compromis en créant un pod avec des droits d'administrateur de cluster.

Nous avons supprimé l'accès de Fluent Bit aux jetons de compte de service et repensé la fonctionnalité de Cloud Service Mesh pour supprimer les privilèges en trop.

Seuls les clusters GKE sur VMware utilisant Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise Cloud Service Mesh intégré, vous devez passer manuellement à la version suivante (notes de version) :

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour exploiter les failles décrites dans ce bulletin, un pirate informatique doit d'abord compromettre ou autrement s'échapper d'un conteneur, ou disposer des droits racine sur un nœud de cluster. Nous ne sommes au courant d'aucune faille de sécurité existante qui pourrait entraîner cette condition préalable à l'élévation de privilèges. Nous avons corrigé ces failles à titre de mesure de renforcement pour éviter qu'une chaîne d'attaque complète ne se produise à l'avenir.

Cloud Service Mesh nécessitait des droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour étendre ses droits d'accès initialement compromis en créant un pod avec des droits d'administrateur de cluster.

Nous avons repensé les fonctionnalités de Cloud Service Mesh pour supprimer les privilèges excessifs.

Seuls les clusters GKE sur AWS utilisant Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise Cloud Service Mesh intégré, vous devez passer manuellement à la version suivante (notes de version) :

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour exploiter les failles décrites dans ce bulletin, un pirate informatique doit d'abord compromettre ou autrement s'échapper d'un conteneur, ou disposer des droits racine sur un nœud de cluster. Nous ne sommes au courant d'aucune faille de sécurité existante qui pourrait entraîner cette condition préalable à l'élévation de privilèges. Nous avons corrigé ces failles à titre de mesure de renforcement afin d'éviter une chaîne d'attaque complète à l'avenir.

Cloud Service Mesh nécessitait des droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour étendre ses droits d'accès initialement compromis en créant un pod avec des droits d'administrateur de cluster.

Nous avons repensé les fonctionnalités de Cloud Service Mesh pour supprimer les privilèges excessifs.

Seuls les clusters GKE sur Azure utilisant Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise Cloud Service Mesh intégré, vous devez passer manuellement à la version suivante (notes de version) :

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour exploiter les failles décrites dans ce bulletin, un pirate informatique doit d'abord compromettre ou autrement s'échapper d'un conteneur, ou disposer des droits racine sur un nœud de cluster. Nous ne sommes au courant d'aucune faille de sécurité existante qui pourrait entraîner cette condition préalable à l'élévation de privilèges. Nous avons corrigé ces failles à titre de mesures de renforcement pour éviter qu'une chaîne d'attaque complète ne se produise à l'avenir.

Cloud Service Mesh nécessitait des droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour étendre ses droits d'accès initialement compromis en créant un pod avec des droits d'administrateur de cluster.

Nous avons repensé les fonctionnalités de Cloud Service Mesh pour supprimer les privilèges excessifs.

Seuls les clusters GKE on Bare Metal utilisant Cloud Service Mesh sont concernés.

Que dois-je faire ?

Si votre cluster utilise Cloud Service Mesh intégré, vous devez passer manuellement à la version suivante (notes de version) :

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quelles failles ce correctif permet-il de résoudre ?

Pour exploiter les failles décrites dans ce bulletin, un pirate informatique doit d'abord compromettre ou autrement s'échapper d'un conteneur, ou disposer des droits racine sur un nœud de cluster. Nous ne sommes au courant d'aucune faille de sécurité existante qui pourrait entraîner cette condition préalable à l'élévation de privilèges. Nous avons corrigé ces failles à titre de mesure de renforcement afin d'éviter une chaîne d'attaque complète à l'avenir.

Anthos Service Mesh nécessitait des privilèges élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour étendre ses droits d'accès initialement compromis en créant un pod avec des droits d'administrateur de cluster.

Nous avons repensé les fonctionnalités de Cloud Service Mesh pour supprimer les privilèges excessifs.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5717

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 22/01/2024 : les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5717

Que dois-je faire ?

Mise à jour du 04/03/2024 : le code des versions suivantes de GKE sur VMware a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures :

• 1.28.200
• 1.16.5
• 1.15.8

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5717

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5717

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5717

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5197

Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez CAP_NET_ADMIN.

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5197

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5197

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5197

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-5197

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4147

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot ne sont pas concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 15/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Par exemple, si vous utilisez la version 1.27 de GKE, vous devez passer à la version avec correctif correspondante. Toutefois, si vous utilisez la version 1.24 de GKE, vous n'avez pas besoin de passer à une version avec correctif.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4147

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4147

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4147

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4147

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4004

Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 05/12/2023 : certaines versions de GKE étaient auparavant manquantes. Vous trouverez ci-dessous la liste actualisée des versions de GKE vers lesquelles vous pouvez mettre à jour votre système d'exploitation Container-Optimized OS :

• 1.24.17-gke.200 et versions ultérieures
• 1.25.13-gke.200 et versions ultérieures
• 1.26.8-gke.200 et versions ultérieures
• 1.27.4-gke.2300 et versions ultérieures
• 1.28.1-gke.1257000 et versions ultérieures

Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4004

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4004

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4004

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4004

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4921

Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4921

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4921

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4921

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4921

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4623

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4015

Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :

• 1.27.5-gke.1647000

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4015

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4015

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4015

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4015

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez CAP_NET_ADMIN.

Les clusters Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3777

Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez CAP_NET_ADMIN. Les charges de travail GKE Sandbox ne sont pas non plus concernées.

Les clusters Autopilot sont concernés.

Les clusters qui utilisent GKE Sandbox sont concernés.

Que dois-je faire ?

Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées.

Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3777

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3777

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3777

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3777

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE). Les clusters GKE avec des réseaux autorisés configurés sont protégés en limitant l'accès au réseau, mais tous les autres clusters sont concernés.

Que dois-je faire ?

Mise à jour du 09/11/2023 : nous avons publié de nouvelles versions de GKE qui incluent les correctifs de sécurité Go et Kubernetes, que vous pouvez appliquer à vos clusters dès maintenant. Dans les semaines à venir, nous apporterons d'autres modifications au plan de contrôle GKE pour atténuer davantage ce problème.

Les versions suivantes de GKE ont été mises à jour avec des correctifs pour les failles CVE-2023-44487 et CVE-2023-39325 :

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Nous vous recommandons d'appliquer la mesure d'atténuation suivante dès que possible et de passer à la dernière version du correctif lorsqu'elle sera disponible.

Les correctifs Golang seront publiés le 10 octobre. Une fois disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs et créerons une version de GKE avec correctifs. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin pour vous indiquer la version vers laquelle mettre à niveau votre plan de contrôle. Nous rendrons également les correctifs visibles dans la stratégie de sécurité de GKE, lorsqu'ils seront disponibles pour votre cluster. Pour recevoir une notification Pub/Sub lorsqu'un correctif est disponible pour votre canal, activez les notifications de cluster.

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Pour atténuer ce problème, configurez des réseaux autorisés pour l'accès au plan de contrôle :

Vous pouvez ajouter des réseaux autorisés pour des clusters existants. Pour en savoir plus, consultez la section Réseau autorisé pour les clusters existants.

En plus des réseaux autorisés que vous ajoutez, des adresses IP prédéfinies peuvent accéder au plan de contrôle GKE. Pour en savoir plus sur ces adresses, consultez la section Accès aux points de terminaison du plan de contrôle. Les éléments suivants résument l'isolation du cluster :

• Les clusters privés avec --master-authorized-networks et les clusters basés sur PSC avec --master-authorized-networks et --no-enable-google-cloud configurés sont les plus isolés.
• Les anciens clusters publics avec --master-authorized-networks et les clusters basés sur PSC avec --master-authorized-networks et --enable-google-cloud (par défaut) configurés sont également accessibles via les éléments suivants :
  • Adresses IP publiques de toutes les VM Compute Engine dans Google Cloud
  • Adresses IP de la plate-formeGoogle Cloud

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle GKE.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. La faille pourrait entraîner un déni de service du plan de contrôle Kubernetes. GKE sur VMware crée des clusters Kubernetes qui ne sont pas directement accessibles depuis Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Mise à jour du 14/02/2024 : les versions suivantes de GKE sur VMware sont mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers les versions de correctif suivantes ou ultérieures :

• 1.28.100
• 1.16.6
• 1.15.8

Si vous avez configuré GKE sur VMware sur des clusters Kubernetes pour avoir un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de travailler avec votre administrateur de pare-feu pour bloquer ou limiter cet accès.

Nous vous recommandons de passer à la dernière version du correctif dès qu'elle est disponible.

Les correctifs Golang seront publiés le 10 octobre. Une fois disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs et créerons une version de GKE avec correctifs. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin pour vous indiquer la version vers laquelle mettre à niveau votre plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. La faille pourrait entraîner un déni de service du plan de contrôle Kubernetes. GKE sur AWS crée des clusters Kubernetes privés qui ne sont pas directement accessibles depuis Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Mise à jour du 20/03/2024 : les versions suivantes de GKE sur AWS ont été mises à jour avec des correctifs pour CVE-2023-44487 :

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Si vous avez configuré GKE sur AWS pour avoir un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de travailler avec votre administrateur de pare-feu pour bloquer ou limiter cet accès.

Nous vous recommandons de passer à la dernière version du correctif dès qu'elle est disponible.

Les correctifs Golang seront publiés le 10 octobre. Une fois disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs et créerons une version de GKE avec correctifs. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin pour vous indiquer la version vers laquelle mettre à niveau votre plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. La faille pourrait entraîner un déni de service du plan de contrôle Kubernetes. GKE sur Azure crée des clusters Kubernetes privés qui ne sont pas directement accessibles depuis Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Mise à jour du 20-03-2024 : les versions suivantes de GKE sur Azure ont été mises à jour avec des correctifs pour CVE-2023-44487 :

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Si vous avez configuré GKE sur des clusters Azure pour avoir un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de travailler avec votre administrateur de pare-feu pour bloquer ou limiter cet accès.

Nous vous recommandons de passer à la dernière version du correctif dès qu'elle est disponible.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. La faille pourrait entraîner un déni de service du plan de contrôle Kubernetes. Anthos sur Bare Metal crée des clusters Kubernetes qui ne sont pas directement accessibles depuis Internet par défaut et qui sont protégés contre cette faille.

Que dois-je faire ?

Si vous avez configuré vos clusters Kubernetes Anthos sur Bare Metal pour avoir un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de travailler avec votre administrateur de pare-feu pour bloquer ou limiter cet accès. Pour en savoir plus, consultez la présentation de la sécurité de GKE sur Bare Metal.

Nous vous recommandons de passer à la dernière version du correctif dès qu'elle est disponible.

Les correctifs Golang seront publiés le 10 octobre. Une fois disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs et créerons une version de GKE avec correctifs. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin pour vous indiquer la version vers laquelle mettre à niveau votre plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes.

Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été détectées dans Kubernetes, où un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI Kubernetes.

Les clusters GKE ne sont affectés que s'ils incluent des nœuds Windows.

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes :