Ce document décrit tous les bulletins de sécurité pour les produits suivants :
- Google Kubernetes Engine (GKE)
- Google Distributed Cloud (logiciel uniquement) sur VMware
- GKE sur AWS
- GKE sur Azure
- Google Distributed Cloud (logiciel uniquement) sur solution Bare Metal
Les failles de sécurité sont souvent gardées secrètes jusqu'à ce que les parties concernées aient eu la possibilité de les corriger. Si tel est le cas, les notes de version de GKE font référence à des "mises à jour de sécurité" jusqu'à la levée du secret. Les notes sont alors mises à jour pour refléter les failles traitées par le correctif.
Lorsque GKE émet un bulletin de sécurité directement lié à la configuration ou à la version de votre cluster, nous pouvons vous envoyer une notification de cluster SecurityBulletinEvent
qui fournit des informations sur la faille et les actions que vous pouvez entreprendre, le cas échéant. Pour en savoir plus sur la configuration des notifications de cluster, consultez la page Notifications de cluster.
Pour en savoir plus sur la manière dont Google gère les failles et les correctifs de sécurité pour GKE et GKE Enterprise, consultez la page Correctifs de sécurité.
Les plates-formes GKE et GKE Enterprise n'utilisent pas de composants tels que ingress-nginx
ou l'environnement d'exécution de conteneur CRI-O, et ne sont donc pas affectées par les failles associées à ces composants. Si vous installez des composants à partir d'autres sources, reportez-vous à la source en question pour les mises à jour de sécurité ainsi que pour obtenir des conseils eu égard aux correctifs associés à ces composants.
Utilisez ce flux XML pour vous abonner aux bulletins de sécurité de la présente page.
GCP-2025-006
Date de publication: 23/01/2025
Référence: N/A
GKE
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans le fournisseur Google Secret Manager pour le pilote CSI Secret Store. Pour exploiter cette faille, un pirate informatique doit pouvoir effectuer les opérations suivantes:
En suivant ces étapes, un pirate informatique pourrait duper le pilote CSI pour qu'il divulgue le jeton de compte de service Kubernetes du pilote CSI à une URL contrôlée par le pirate informatique. Le fournisseur Secret Manager peut être utilisé de deux manières avec un cluster GKE. Le module complémentaire Secret Manager pour GKE est une fonctionnalité gérée disponible sur les clusters GKE. En tant qu'utilisateur de GKE, vous pouvez également installer le fournisseur Google Secret Manager pour le pilote CSI Secrets Store Open Source sur votre cluster GKE. Dans les deux cas, le fournisseur permet à un pod Kubernetes d'accéder aux secrets stockés dans Google Cloud Secret Manager en tant que fichiers installés sur le pod en tant que volume.
Les correctifs du module complémentaire Secret Manager géré GKE et du fournisseur Secret Manager Open Source désactivent l'utilisation de nodePublishSecretRef pour éviter ce problème. Il a été déterminé que cela n'avait aucun impact sur l'utilisation existante du module complémentaire Secret Manager GKE. Un très petit nombre de clusters GKE utilisant le fournisseur Secret Manager Open Source avec nodePublishSecretRef peuvent être affectés. Le correctif Open Source permet de réactiver la fonctionnalité nodePublishSecretRef via la variable d'environnement Que dois-je faire ?Effectuez l'une des opérations suivantes en fonction de la façon dont votre cluster GKE utilise le fournisseur Secret Manager: Module complémentaire Secret Manager GKE géré Si vous utilisez le module complémentaire GKE géré, mettez à niveau votre cluster GKE vers une version corrigée. Les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille. Mettez à niveau vos pools de nœuds vers les versions suivantes ou ultérieures:
Pour recevoir la correction le plus rapidement possible, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds standards vers une version GKE avec correctif. Les canaux de publication GKE vous permettent d'appliquer un correctif avant que la nouvelle version ne devienne une cible de mise à niveau automatique dans le canal de publication sélectionné. Fournisseur de services Secret Manager Open Source Si vous utilisez le fournisseur Secret Manager Open Source, passez à la version 1.7.0. Si vous utilisez le chart Helm, la dernière version fait déjà référence à la version 1.7.0. Si vous basez votre installation directement sur le fichier deploy/provider-gcp-plugin.yaml, notez que l'image a également été mise à jour dans ce fichier. |
Moyenne |
GDC (VMware)
Description | Gravité |
---|---|
Une faille dans le fournisseur Google Secret Manager pour le pilote CSI Secrets Store permet à un pirate informatique disposant d'autorisations de création de pod et de secret dans un espace de noms d'extraire le jeton de compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod. Que dois-je faire ?Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous êtes peut-être concerné. Pour obtenir des instructions concernant le fournisseur Secret Manager Open Source, consultez l'onglet GKE. Les clusters GDC (VMware) ne sont pas concernés, car ils n'offrent pas de module complémentaire géré. Aucune autre action n'est donc requise. |
Moyenne |
GKE sur AWS
Description | Gravité |
---|---|
Une faille dans le fournisseur Google Secret Manager pour le pilote CSI Secrets Store permet à un pirate informatique disposant d'autorisations de création de pod et de secret dans un espace de noms d'extraire le jeton de compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod. Que dois-je faire ?Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous êtes peut-être concerné. Pour obtenir des instructions concernant le fournisseur Secret Manager Open Source, consultez l'onglet GKE. Les clusters GKE sur AWS ne sont pas concernés, car ils n'offrent pas de module complémentaire géré. Aucune autre action n'est donc requise. |
Moyenne |
GKE sur Azure
Description | Gravité |
---|---|
Une faille dans le fournisseur Google Secret Manager pour le pilote CSI Secrets Store permet à un pirate informatique disposant d'autorisations de création de pod et de secret dans un espace de noms d'extraire le jeton de compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod. Que dois-je faire ?Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous êtes peut-être concerné. Pour obtenir des instructions concernant le fournisseur Secret Manager Open Source, consultez l'onglet GKE. Les clusters GKE sur Azure ne sont pas concernés, car ils n'offrent pas de module complémentaire géré. Aucune autre action n'est donc requise. |
Moyenne |
GDC (Bare Metal)
Description | Gravité |
---|---|
Une faille dans le fournisseur Google Secret Manager pour le pilote CSI Secrets Store permet à un pirate informatique disposant d'autorisations de création de pod et de secret dans un espace de noms d'extraire le jeton de compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod. Que dois-je faire ?Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous êtes peut-être concerné. Pour obtenir des instructions concernant le fournisseur Secret Manager Open Source, consultez l'onglet GKE. Les clusters GDC (bare metal) ne sont pas concernés, car ils n'offrent pas de module complémentaire géré. Aucune autre action n'est donc requise. |
Moyenne |
GCP-2025-003
Date de publication: 09/01/2025
Dernière mise à jour: 23/01/2025
Référence:
CVE-2024-50264
Mise à jour du 23/01/2025 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
GKE
Mise à jour : 23/01/2025
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 23/01/2025:le code des versions suivantes de GKE a été mis à jour pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures:
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucun |
GCP-2025-002
Date de publication: 09/01/2025
Dernière mise à jour: 23/01/2025
Référence:
CVE-2024-53057
Mise à jour du 23/01/2025 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
Mise à jour du 22/01/2025 : ajout de versions de correctif pour GDC (VMware). La gravité de GDC (VMware) est passée de "En attente" à "Moyenne".
GKE
Mise à jour : 23/01/2025
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 23/01/2025:le code des versions suivantes de GKE a été mis à jour pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures:
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 22/01/2025
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ?Mise à jour du 22/01/2025:le code des versions suivantes de GDC (VMware) a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters GDC (VMware) vers les versions suivantes ou ultérieures:
|
Moyenne |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucun |
GCP-2025-001
Date de publication: 08/01/2025
Dernière mise à jour: 23/01/2025
Référence: N/A
Mise à jour du 23/01/2025: mise à jour de la section Ressources concernées dans l'onglet GKE.
Mise à jour du 8 janvier 2025 : correction de la date et de l'heure de début du problème.
GKE
Mise à jour : 23/01/2025
Description | Gravité |
---|---|
Mise à jour du 23 janvier 2025:mise à jour de la section Ressources concernées. Mise à jour du 8 janvier 2025 : la date et l'heure de début réelles du problème étaient le 4 décembre 2024 à 22h47 UTC. Un problème de sécurité a été introduit le 08/12/2024 à 13:44 UTC et résolu le 04/01/2025 à 04:00 UTC. Ce problème de sécurité affectait les ressources des VPC avec une passerelle multiclusters (MCG) GKE configurée. MCG est une fonctionnalité facultative utilisée par un petit sous-ensemble de clients GKE. Nous informons individuellement les clients qui avaient activé cette fonctionnalité pendant cette période. La passerelle multicluster (MCG, Multi-Cluster Gateway) est une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic entre plusieurs clusters. Pour effectuer cette fonction, MCG doit apporter des modifications au pare-feu Google Cloud au niveau du projet. Une erreur dans MCG a entraîné la création d'une règle de pare-feu d'entrée qui autorisait le trafic TCP vers toutes les adresses IP (0.0.0.0/0) et tous les ports du VPC. Des mesures ont été prises pour éviter que ce type d'erreur ne se reproduise. Étant donné que le pare-feu est une liste d'autorisation au niveau du VPC, les types de ressources suivants ont peut-être été accessibles au réseau pendant la période considérée:
Les nœuds de calcul GKE, les VM Compute Engine et d'autres ressources qui n'utilisaient que des adresses IP privées auraient pu être plus largement accessibles dans leur VPC, mais pas sur Internet. Les applications protégées par les mécanismes suivants auraient réduit ou éliminé leur exposition:
Ressources concernéesMise à jour du 23 janvier 2025:les flottes (ou hubs) GKE qui utilisent MCG dans des projets de service de VPC partagé ne sont pas concernées par le problème, car les règles de pare-feu ne sont pas gérées à partir de ces projets. Les ressources situées dans des VPC avec un MCG GKE configuré et écoutant des adresses IP publiques ont été affectées. Les ressources concernées incluent, mais sans s'y limiter, les applications exécutées sur des nœuds de travail GKE. Que dois-je faire ?Le problème a été résolu dans tous les VPC concernés en corrigeant la configuration incorrecte du pare-feu. Les règles créées par erreur ont été automatiquement modifiées avec les plages sources appropriées (130.211.0.0/22, 35.191.0.0/16) pour autoriser le trafic entrant provenant de l'infrastructure de vérification de l'état Google Cloud et, éventuellement, les plages de sous-réseaux proxy uniquement pour les passerelles internes. Pour en savoir plus sur les règles de pare-feu créées automatiquement par MCG dans vos projets, consultez la section Règles de pare-feu GKE Gateway. Vous pouvez éventuellement confirmer la résolution en vérifiant les règles de pare-feu gérées sur les VPC à l'aide de GKE MCG. Vérifiez qu'une plage source est définie sur les règles de pare-feu gérées qui utilisent le préfixe Pour lister les règles de pare-feu gérées par MCG dans votre environnement actuel, exécutez la commande suivante: gcloud compute firewall-rules list --format="json" --filter="name:gkemcg1-l7-*" | jq -r '.[] | "\(.name): \(.sourceRanges // "No source range")"' | awk -F: '{if ($2 ~ /No source range|^\s*$/) print "Rule "$1" has an EMPTY or MISSING source range."; else print "Rule "$1" has source range(s): "$2;}' Pour rechercher dans les journaux les mises à jour des configurations de pare-feu gérées par MCG, utilisez l'explorateur de journaux avec la requête ci-dessous: protoPayload.serviceName="compute.googleapis.com" resource.type="gce_firewall_rule" protoPayload.resourceName=~"projects/[^/]+/global/firewalls/gkemcg1-" -operation.last="true" Pour lister les règles de pare-feu gérées par le MCG dans votre organisation, exécutez la commande suivante pour interroger Cloud Asset Inventory: gcloud asset search-all-resources --scope='organizations/ Les contrôles supplémentaires suivants offrent une défense en profondeur contre les réseaux non approuvés et peuvent être considérés comme renforçant la posture de sécurité:
Nous vous recommandons d'examiner les configurations et les journaux pour identifier les applications ou services qui auraient pu être exposés pendant la période mentionnée précédemment, mais qui ne devaient pas l'être. Vous pouvez utiliser les outils suivants pour vérifier le trafic entrant vers vos ressources exécutées dans Google Cloud:
|
Élevée |
GDC (VMware)
Description | Gravité |
---|---|
Un problème de sécurité a été détecté et affecte la passerelle multicluster (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters. Les clusters GDC (VMware) ne sont pas compatibles avec MCG et ne sont pas affectés. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GKE sur AWS
Description | Gravité |
---|---|
Un problème de sécurité a été détecté et affecte la passerelle multicluster (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters. Les clusters GKE sur AWS ne sont pas compatibles avec MCG et ne sont pas affectés. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Un problème de sécurité a été détecté et affecte la passerelle multicluster (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters. Les clusters GKE sur Azure ne sont pas compatibles avec MCG et ne sont pas affectés. Que dois-je faire ?Aucune action n'est requise. |
Aucun |
GDC (Bare Metal)
Description | Gravité |
---|---|
Un problème de sécurité a été détecté et affecte la passerelle multicluster (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters. Les clusters GDC (bare metal) ne sont pas compatibles avec le MCG et ne sont pas concernés. Que dois-je faire ?Aucune action n'est requise. |
Aucun |
GCP-2024-062
Date de publication: 02/12/2024
Dernière mise à jour: 22/01/2025
Référence:
CVE-2024-46800
Mise à jour du 22/01/2025 : ajout de versions de correctif pour GDC (VMware). La gravité de GDC (VMware) est passée de "En attente" à "Élevé".
Mise à jour du 12/12/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
GKE
Mise à jour : 12/12/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 12/12/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 22/01/2025
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 22/01/2025:le code des versions suivantes de GDC (VMware) a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters GDC (VMware) vers les versions suivantes ou ultérieures:
|
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucun |
GCP-2024-061
Date de publication: 25/11/2024
Référence: CVE-2024-10220
GKE
Description | Gravité |
---|---|
Un problème de sécurité détecté dans les clusters Kubernetes peut entraîner l'exécution de code à distance à l'aide d'un volume Que dois-je faire ?Mettez à niveau votre cluster GKE et vos pools de nœuds vers une version corrigée. Les versions suivantes de GKE ont été mises à jour pour corriger cette faille:
Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers une version GKE avec correctifs. Les canaux de publication de GKE vous permettent d'appliquer des correctifs sans avoir à vous désabonner ni à changer de canal de publication. Cela vous permet de sécuriser votre cluster et vos nœuds avant que la nouvelle version ne devienne la version par défaut sur le canal de publication sélectionné. Quelles failles ce correctif permet-il de résoudre ?CVE-2024-10220 permet à un pirate informatique de créer un pod et d'associer un volume |
Élevée |
GDC (VMware)
Description | Gravité |
---|---|
Un problème de sécurité détecté dans les clusters Kubernetes peut entraîner l'exécution de code à distance à l'aide d'un volume Que dois-je faire ? |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Un problème de sécurité détecté dans les clusters Kubernetes peut entraîner l'exécution de code à distance à l'aide d'un volume Que dois-je faire ? |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Un problème de sécurité détecté dans les clusters Kubernetes peut entraîner l'exécution de code à distance à l'aide d'un volume Que dois-je faire ? |
Élevée |
GDC (Bare Metal)
Description | Gravité |
---|---|
Un problème de sécurité détecté dans les clusters Kubernetes peut entraîner l'exécution de code à distance à l'aide d'un volume Que dois-je faire ? |
Élevée |
GCP-2024-057
Date de publication: 03/10/2024
Dernière mise à jour: 19/11/2024
Référence:
CVE-2024-45016
Mise à jour du 19/11/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
Mise à jour du 15/10/2024 : ajout de versions de correctif pour GDC (VMware). La gravité de GDC (VMware) est passée de "En attente" à "Moyenne". Gravité de GKE modifiée de "Élevée" à "Moyenne".
GKE
Mise à jour : 19/11/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 19/11/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Moyenne |
GDC (VMware)
Mise à jour : 15/10/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 15/10/2024:le code des versions suivantes de GDC (VMware) a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters GDC (VMware) vers les versions suivantes ou ultérieures:
|
Moyenne |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucun |
GCP-2024-056
Date de publication : 27/09/2024
Référence : CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177
GKE
Description | Gravité |
---|---|
Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter. GKE n'utilise pas le système d'impression CUPS et n'est pas affecté. Que dois-je faire ?Aucune action requise |
Aucune |
GDC (VMware)
Description | Gravité |
---|---|
Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter. Le logiciel GDC pour VMware n'utilise pas le système d'impression CUPS et n'est pas concerné. Que dois-je faire ?Aucune action requise |
Aucune |
GKE sur AWS
Description | Gravité |
---|---|
Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter. GKE sur AWS n'utilise pas le système d'impression CUPS et n'est pas affecté. Que dois-je faire ?Aucune action requise |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter. GKE sur Azure n'utilise pas le système d'impression CUPS et n'est pas affecté. Que dois-je faire ?Aucune action requise |
Aucune |
GDC (Bare Metal)
Description | Gravité |
---|---|
Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'ils peuvent s'y connecter. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. Que dois-je faire ?Aucune action requise |
Aucune |
GCP-2024-054
Date de publication : 23/09/2024
Référence : CVE-2024-5321
GKE
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où Tout environnement Kubernetes avec des nœuds Windows est concerné. Exécutez Versions de GKE concernées
Que dois-je faire ?Les versions suivantes de GKE ont été mises à jour pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. Quelles failles sont corrigées ?CVE-2024-5321 |
Moyenne |
GDC (VMware)
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où Tout environnement Kubernetes avec des nœuds Windows est concerné. Exécutez Que dois-je faire ?Les versions de correctif pour le logiciel GDC pour VMware sont en cours. Nous mettrons à jour ce bulletin avec ces informations dès qu'elles seront disponibles. Quelles failles sont corrigées ?CVE-2024-5321 |
Moyenne |
GKE sur AWS
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où Les clusters GKE sur AWS ne sont pas compatibles avec les nœuds Windows et ne sont donc pas affectés. Que dois-je faire ?Aucune action requise
|
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où Les clusters GKE sur Azure ne sont pas compatibles avec les nœuds Windows et ne sont pas concernés. Que dois-je faire ?Aucune action requise |
Aucune |
GDC (Bare Metal)
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où Le logiciel GDC pour les clusters Bare Metal n'est pas compatible avec les nœuds Windows et n'est pas affecté. Que dois-je faire ?Aucune action requise |
Aucune |
GCP-2024-050
Date de publication : 04/09/2024
Référence : CVE-2024-38063
GKE
Description | Gravité |
---|---|
Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus. Que dois-je faire ?GKE n'est pas compatible avec IPv6 sous Windows et n'est pas affecté par cette faille CVE. Aucune action n'est requise. |
Aucune |
GDC (VMware)
Description | Gravité |
---|---|
Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus. Que dois-je faire ?Le logiciel GDC pour VMware n'est pas compatible avec IPv6 sous Windows et n'est pas affecté par cette faille CVE. Aucune action n'est requise. |
Aucune |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus. Que dois-je faire ?GKE sur AWS n'est pas affecté par cette faille CVE. Aucune action n'est requise. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus. Que dois-je faire ?GKE sur Azure n'est pas affecté par cette faille CVE. Aucune action n'est requise. |
Aucune |
GDC (Bare Metal)
Description | Gravité |
---|---|
Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique peut exploiter cette faille à distance en envoyant à un hôte des paquets IPv6 spécialement conçus. Que dois-je faire ?GDC (bare metal) n'est pas affecté par cette faille CVE. Aucune action n'est requise. |
Aucune |
GCP-2024-049
Date de publication: 21/08/2024
Dernière mise à jour: 01/11/2024
Référence:
CVE-2024-36978
Mise à jour du 01/11/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
Mise à jour du 21/10/2024 : ajout de versions de correctif et modification de la gravité pour GDC (VMware).
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 01/11/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou versions ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 21/10/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 21/10/2024:le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-048
Date de publication: 20/08/2024
Dernière mise à jour: 30/10/2024
Référence:
CVE-2024-41009
Mise à jour du 30/10/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
Mise à jour du 25/10/2024 : ajout de versions de correctif et modification de la gravité pour GDC (VMware).
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 30/10/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou versions ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 25/10/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 25/10/2024:le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-047
Date de publication: 19/08/2024
Dernière mise à jour: 30/10/2024
Référence:
CVE-2024-39503
Mise à jour du 30/10/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
Mise à jour du 21/10/2024 : ajout de versions de correctif et modification de la gravité pour GDC (VMware).
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 30/10/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 21/10/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 21/10/2024:le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-045
Date de publication : 17/07/2024
Dernière mise à jour : 19/09/2024
Référence : CVE-2024-26925
Mise à jour du 19/09/2024 : Ajout de versions de correctif pour GDC (VMware).
Mise à jour du 21/08/2024 : Ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
GKE
Mise à jour : 21/08/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 21/08/2024 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds d'OS optimisé pour les conteneurs vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 19/09/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 19/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-044
Date de publication: 16/07/2024
Dernière mise à jour: 30/10/2024
Référence:
CVE-2024-36972
Mise à jour du 30/10/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
Mise à jour du 21/10/2024 : ajout de versions de correctif et modification de la gravité pour GDC (VMware).
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 30/10/2024:les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds d'OS optimisé pour les conteneurs vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 21/10/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 21/10/2024:le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-043
Date de publication : 16/07/2024
Dernière mise à jour : 02/10/2024
Référence : CVE-2024-26921
Mise à jour du 02/10/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
Mise à jour du 20/09/2024 : ajout de versions de correctif pour GDC (VMware).
GKE
Mise à jour : 02/10/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 02/10/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 20/09/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 20/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-042
Date de publication : 15/07/2024
Dernière mise à jour : 18/07/2024
Référence : CVE-2024-26809
Mise à jour du 18/07/2024 : clarification indiquant que les clusters Autopilot dans la configuration par défaut ne sont pas concernés.
GKE
Mise à jour : 18/07/2024
Description | Gravité |
---|---|
Mise à jour du 18/07/2024 : La version originale de ce bulletin indiquait à tort que les clusters Autopilot étaient concernés. Les clusters Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez la fonctionnalité Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-041
Date de publication : 08/07/2024
Dernière mise à jour : 16/09/2024
Référence : CVE-2023-52654
CVE-2023-52656
Mise à jour du 16/09/2024 : ajout de versions de correctif pour GDC (VMware).
Mise à jour du 19/07/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
GKE
Mise à jour : 19/07/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 19/07/2024 : les versions suivantes de GKE contiennent du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 16/09/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 16/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-040
Date de publication : 01/07/2024
Dernière mise à jour : 11/07/2024
Référence : CVE-2024-6387
Mise à jour du 11/07/2024 : ajout de versions de correctif pour le logiciel GDC pour VMware, GKE sur AWS et GKE sur Azure.
Mise à jour du 03/07/2024 : ajout de versions de correctif pour GKE
Mises à jour du 02/07/2024 :
- Clarification sur le fait que les clusters Autopilot sont concernés et nécessiteront une action de la part de l'utilisateur.
- Ajout d'évaluations de l'impact et d'étapes d'atténuation pour GDC (VMware), GKE sur AWS et GKE sur Azure.
- Correction du bulletin de sécurité GDC (bare metal) pour préciser que GDC (bare metal) n'est pas directement concerné et que les clients doivent contacter les fournisseurs d'OS pour obtenir des correctifs.
GKE
Mise à jour : 03/07/2024
Description | Gravité |
---|---|
Mise à jour du 03/07/2024 : un déploiement accéléré est en cours et devrait rendre les nouvelles versions de correctif disponibles dans toutes les zones d'ici le 3 juillet 2024 à 17h, heure avancée du Pacifique des États-Unis et du Canada (UTC-7). Pour recevoir une notification dès qu'un correctif est disponible pour votre cluster spécifique, utilisez les notifications de cluster. Mise à jour du 02/07/2024 : cette faille affecte les clusters en mode Autopilot et en mode Standard. Chaque section suivante indique les modes auxquels elle s'applique. Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation. Toutes les versions compatibles des images Container-Optimized OS et Ubuntu sur GKE exécutent des versions d'OpenSSH vulnérables à ce problème. Les clusters GKE dont les adresses IP de nœuds publics et le protocole SSH sont exposés à Internet doivent être traités en priorité pour atténuer le problème. Le plan de contrôle GKE n'est pas affecté par ce problème. Que dois-je faire ?Mise à jour du 03/07/2024 : versions de correctif pour GKEUn déploiement accéléré est en cours. Les nouvelles versions de correctif devraient être disponibles dans toutes les zones d'ici le 3 juillet 2024 à 17h00 (heure avancée du Pacifique des États-Unis et du Canada, UTC-7). Les clusters et les nœuds pour lesquels la mise à niveau automatique est activée commenceront à être mis à niveau au cours de la semaine. Toutefois, en raison de la gravité de la faille, nous vous recommandons de procéder à la mise à niveau manuellement comme indiqué ci-dessous afin d'obtenir les correctifs le plus rapidement possible. Pour les clusters Autopilot et Standard, mettez à niveau votre plan de contrôle vers une version corrigée. De plus, pour les clusters en mode standard, mettez à niveau vos pools de nœuds vers une version corrigée. Les clusters Autopilot commenceront à mettre à niveau vos nœuds pour qu'ils correspondent à la version du plan de contrôle dès que possible. Les versions de GKE avec correctif sont disponibles pour chaque version compatible afin de réduire au minimum les modifications nécessaires à l'application du correctif. Le numéro de version de chaque nouvelle version est un incrément du dernier chiffre du numéro de version précédent. Par exemple, si vous utilisez la version 1.27.14-gke.1100000, vous passerez à la version 1.27.14-gke.1100002 pour obtenir le correctif avec la modification la plus petite possible. Les versions GKE avec correctifs suivantes sont disponibles :
Pour vérifier si un correctif est disponible dans la zone ou la région de votre cluster, exécutez la commande suivante : gcloud container get-server-config --location= Remplacez Mise à jour du 02/07/2024 : les clusters en mode Autopilot et en mode Standard doivent être mis à niveau dès que les versions de correctifs sont disponibles. Une version de GKE avec correctifs incluant une mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Pour recevoir une notification Pub/Sub lorsqu'un correctif est disponible pour votre canal, activez les notifications de cluster. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de votre cluster et d'appliquer les mesures d'atténuation décrites, si nécessaire. Déterminer si vos nœuds disposent d'adresses IP publiquesMise à jour du 02/07/2024 : cette section s'applique aux clusters Autopilot et Standard. Si un cluster est créé avec
gcloud container clusters describe $CLUSTER_NAME \ --format="value(privateClusterConfig.enablePrivateNodes)" Si la valeur renvoyée est "True", tous les nœuds sont des nœuds privés pour ce cluster et la faille est atténuée. Si la valeur est vide ou fausse, continuez à appliquer l'une des mesures d'atténuation décrites dans les sections suivantes. Pour rechercher tous les clusters créés à l'origine avec des nœuds publics, utilisez cette requête d'inventaire des éléments cloud dans le projet ou l'organisation : SELECT resource.data.name AS cluster_name, resource.parent AS project_name, resource.data.privateClusterConfig.enablePrivateNodes FROM `container_googleapis_com_Cluster` WHERE resource.data.privateClusterConfig.enablePrivateNodes is null OR resource.data.privateClusterConfig.enablePrivateNodes = false Interdire l'accès SSH aux nœuds du clusterMise à jour du 02/07/2024 : cette section s'applique aux clusters Autopilot et Standard. Le réseau par défaut est prérempli avec une règle de pare-feu
Si vous avez créé d'autres règles de pare-feu pouvant autoriser SSH via TCP sur le port 22, désactivez-les ou limitez les adresses IP sources aux réseaux de confiance. Vérifiez que vous ne pouvez plus vous connecter en SSH aux nœuds du cluster depuis Internet. Cette configuration de pare-feu atténue la faille. Convertir des pools de nœuds publics en pools privésMise à jour du 02/07/2024 : pour les clusters Autopilot créés à l'origine en tant que clusters publics, vous pouvez placer vos charges de travail sur des nœuds privés à l'aide de nodeSelectors. Toutefois, les nœuds Autopilot qui exécutent des charges de travail système sur des clusters initialement créés en tant que clusters publics resteront des nœuds publics et doivent être protégés à l'aide des modifications de pare-feu décrites dans la section précédente. Pour mieux protéger les clusters créés à l'origine avec des nœuds publics, nous vous recommandons de commencer par désactiver SSH via le pare-feu, comme décrit précédemment. Si vous ne parvenez pas à interdire le protocole SSH via les règles de pare-feu, vous pouvez convertir les pools de nœuds publics des clusters GKE Standard en pools privés en suivant ces instructions pour isoler les pools de nœuds. Modifier la configuration de SSHDMise à jour du 02/07/2024 : cette section ne s'applique qu'aux clusters standards. Les charges de travail Autopilot ne sont pas autorisées à modifier la configuration des nœuds. Si aucune de ces mesures d'atténuation ne peut être appliquée, nous avons également publié un daemonset qui définit SSHD |
Critique |
GDC (VMware)
Mise à jour : 11/07/2024
Description | Gravité |
---|---|
Mise à jour du 11/07/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre poste de travail administrateur, vos clusters d'administrateur et vos clusters d'utilisateurs (y compris les pools de nœuds) vers l'une des versions suivantes ou une version ultérieure. Pour obtenir des instructions, consultez la section Mettre à niveau un cluster ou un pool de nœuds.
La mise à jour du 02/07/2024 de ce bulletin indiquait à tort que toutes les versions compatibles des images Ubuntu sur le logiciel GDC pour VMware exécutent des versions d'OpenSSH vulnérables à ce problème. Les images Ubuntu sur le logiciel GDC pour les clusters VMware version 1.16 exécutent des versions d'OpenSSH qui ne sont pas vulnérables à ce problème. Les images Ubuntu du logiciel GDC pour VMware 1.28 et 1.29 sont vulnérables. Les images Container-Optimized OS sur toutes les versions compatibles du logiciel GDC pour VMware sont vulnérables à ce problème. Mise à jour du 02/07/2024 : toutes les versions compatibles d'images Container-Optimized OS et Ubuntu sur le logiciel GDC pour VMware exécutent des versions d'OpenSSH vulnérables à ce problème. Les logiciels GDC pour les clusters VMware avec des adresses IP de nœuds publiques et SSH exposés à Internet doivent être traités en priorité pour l'atténuation. Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation. Que dois-je faire ?Mise à jour du 02/07/2024 : une version du logiciel GDC pour VMware avec un correctif incluant une mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Nous vous recommandons d'appliquer les mesures d'atténuation suivantes si nécessaire. Interdire l'accès SSH aux nœuds du clusterVous pouvez modifier la configuration réseau de votre infrastructure pour interdire la connectivité SSH à partir de sources non fiables, telles que l'Internet public. Modifier la configuration de sshdSi vous ne pouvez pas appliquer la solution de contournement précédente, nous avons publié un DaemonSet qui définit le |
Critique |
GKE sur AWS
Mise à jour : 11/07/2024
Description | Gravité |
---|---|
Mise à jour du 11/07/2024 : le code des versions suivantes de GKE sur AWS a été mis à jour pour corriger cette faille :
Mettez à niveau votre plan de contrôle et vos pools de nœuds GKE sur AWS vers l'une des versions corrigées suivantes ou ultérieures. Pour obtenir des instructions, consultez les pages Mettre à niveau la version de votre cluster AWS et Mettre à jour un pool de nœuds. Mise à jour du 02/07/2024 : toutes les versions compatibles des images Ubuntu sur GKE sur AWS exécutent des versions d'OpenSSH vulnérables à ce problème. Les clusters GKE sur AWS avec des adresses IP de nœud publiques et SSH exposés à Internet doivent être traités en priorité pour atténuer le problème. Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation. Que dois-je faire ?Mise à jour du 02/07/2024 : une version de GKE sur AWS avec correctifs incluant une mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de votre cluster et d'appliquer les mesures d'atténuation décrites si nécessaire. Déterminer si vos nœuds disposent d'adresses IP publiquesGKE sur AWS ne provisionne aucune machine avec des adresses IP publiques ni avec des règles de pare-feu autorisant le trafic vers le port 22 par défaut. Toutefois, en fonction de votre configuration de sous-réseau, les machines peuvent obtenir automatiquement une adresse IP publique lors du provisionnement. Pour vérifier si des adresses IP publiques sont provisionnées pour les nœuds, examinez la configuration du sous-réseau associé à votre ressource de pool de nœuds AWS. Interdire l'accès SSH aux nœuds du clusterBien que GKE sur AWS n'autorise pas le trafic sur le port 22 sur un nœud par défaut, les clients peuvent associer des groupes de sécurité supplémentaires aux pools de nœuds, ce qui permet d'activer le trafic SSH entrant. Nous vous recommandons de supprimer ou de réduire la portée des règles correspondantes des groupes de sécurité fournis. Convertir des pools de nœuds publics en pools privésPour mieux protéger les clusters avec des nœuds publics, nous vous recommandons d'abord d'interdire SSH via votre groupe de sécurité, comme décrit dans la section précédente. Si vous ne pouvez pas désactiver le protocole SSH via les règles de groupe de sécurité, vous pouvez convertir des pools de nœuds publics en pools privés en désactivant l'option permettant d'attribuer automatiquement des adresses IP publiques aux machines d'un sous-réseau et en réprovisionnant le pool de nœuds. |
Critique |
GKE sur Azure
Mise à jour : 11/07/2024
Description | Gravité |
---|---|
Mise à jour du 11/07/2024 : le code des versions suivantes de GKE sur Azure a été mis à jour pour corriger cette faille :
Mettez à niveau votre plan de contrôle et vos pools de nœuds GKE sur Azure vers l'une de ces versions corrigées ou ultérieures. Pour obtenir des instructions, consultez les pages Mettre à niveau la version de votre cluster Azure et Mettre à jour un pool de nœuds. Mise à jour du 02/07/2024 : toutes les versions compatibles des images Ubuntu sur GKE sur Azure exécutent des versions d'OpenSSH vulnérables à ce problème. Les clusters GKE sur Azure avec des adresses IP de nœud publiques et SSH exposés à Internet doivent être traités en priorité pour atténuer le risque. Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation. Que dois-je faire ?Mise à jour du 02/07/2024 : une version de GKE sur Azure avec correctifs incluant une mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de votre cluster et d'appliquer les mesures d'atténuation décrites si nécessaire. Déterminer si vos nœuds disposent d'adresses IP publiquesGKE sur Azure ne provisionne aucune machine avec des adresses IP publiques ni avec des règles de pare-feu qui autorisent le trafic vers le port 22 par défaut. Pour vérifier si des adresses IP publiques sont configurées sur votre cluster GKE sur Azure, exécutez la commande suivante : az network public-ip list -g Interdire l'accès SSH aux nœuds du clusterMême si GKE sur Azure n'autorise pas le trafic sur le port 22 sur un nœud par défaut, les clients peuvent mettre à jour les règles NetworkSecurityGroup vers des pools de nœuds, ce qui permet d'activer le trafic SSH entrant depuis l'Internet public. Nous vous recommandons vivement d'examiner les groupes de sécurité réseau (NSG, Network Security Group) associés à vos clusters Kubernetes. Si une règle de NSG autorise le trafic entrant sans restriction sur le port 22 (SSH), procédez comme suit :
Convertir des pools de nœuds publics en pools privésPour mieux protéger les clusters avec des nœuds publics, nous vous recommandons d'abord d'interdire SSH via votre groupe de sécurité, comme décrit dans la section précédente. Si vous ne pouvez pas désactiver le protocole SSH via les règles du groupe de sécurité, vous pouvez convertir des pools de nœuds publics en pools privés en supprimant les adresses IP publiques associées aux VM. Pour supprimer une adresse IP publique d'une VM et la remplacer par une configuration d'adresse IP privée, consultez la section Dissocier une adresse IP publique d'une VM Azure. Impact : toutes les connexions existantes utilisant l'adresse IP publique seront interrompues. Assurez-vous de disposer d'autres méthodes d'accès, comme un VPN ou Azure Bastion. |
Critique |
GDC (Bare Metal)
Mise à jour : 02/07/2024
Description | Gravité |
---|---|
Mise à jour du 02/07/2024 : la version d'origine de ce bulletin concernant le logiciel GDC pour bare metal indiquait à tort que des versions de correctif étaient en cours. Le logiciel GDC pour Bare Metal n'est pas directement affecté, car il ne gère pas le daemon ou la configuration SSH du système d'exploitation. Les versions de correctif relèvent donc de la responsabilité du fournisseur du système d'exploitation, comme décrit dans la section Que dois-je faire ?. Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation. Que dois-je faire ?Mise à jour du 02/07/2024 : contactez votre fournisseur de système d'exploitation pour obtenir un correctif pour les systèmes d'exploitation utilisés avec le logiciel GDC pour Bare Metal. En attendant d'appliquer le correctif du fournisseur d'OS, assurez-vous que les machines accessibles au public n'autorisent pas les connexions SSH depuis Internet. Si cela n'est pas possible, vous pouvez également définir grep "^LoginGraceTime" /etc/ssh/sshd_config LoginGraceTime 0 Notez que cette modification de configuration peut augmenter le risque d'attaques de déni de service et entraîner des problèmes d'accès SSH légitime. Texte d'origine du 01/07/2024 (voir la mise à jour précédente du 02/07/2024 pour obtenir la version corrigée) : |
Critique |
GCP-2024-039
Date de publication : 28/06/2024
Dernière mise à jour : 25/09/2024
Référence : CVE-2024-26923
Mise à jour du 25/09/2024 : Ajout de versions corrigées pour GDC (VMware).
Mise à jour du 20/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
GKE
Mise à jour : 20/08/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 20/08/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 25/09/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 25/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-038
Date de publication : 26/06/2024
Dernière mise à jour : 17/09/2024
Référence : CVE-2024-26924
Mise à jour du 17/09/2024 : ajout de versions de correctif pour GDC (VMware).
Mise à jour du 06/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
GKE
Mise à jour : 06/08/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 06/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE. Les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GDC (VMware)
Mise à jour : 17/09/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 17/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GDC (Bare Metal)
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-036
Date de publication : 01/08/2024
Référence : CVE-2024-26584
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-035
Date de publication : 12/06/2024
Dernière mise à jour : 18/07/2024
Référence : CVE-2024-26584
Mise à jour du 18/07/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE et ajout d'une version de correctif pour la version 1.27 sur les pools de nœuds Container-Optimized OS.
GKE
Mise à jour : 18/07/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 18/07/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
La version suivante de GKE est mise à jour avec du code pour corriger cette faille sur Container-Optimized OS. Mettez à niveau vos pools de nœuds Container-Optimized OS vers la version de correctif suivante ou une version ultérieure :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :
Les versions mineures suivantes sont concernées, mais aucune version de correctif n'est disponible. Nous mettrons à jour ce bulletin lorsque les versions de correctif seront disponibles :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-034
Date de publication : 11/06/2024
Dernière mise à jour : 10/07/2024
Référence : CVE-2024-26583
Mise à jour du 10/07/2024 : Ajout de versions de correctif pour les nœuds Container-Optimized OS exécutant les versions mineures 1.26 et 1.27, et ajout de versions de correctif pour les nœuds Ubuntu.
GKE
Mise à jour : 10/07/2024
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 10/07/2024 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieures :
Pour les versions mineures 1.26 et 1.27, mettez à niveau vos pools de nœuds de Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-033
Date de publication : 10/06/2024
Dernière mise à jour : 26/09/2024
Référence : CVE-2022-23111
Mise à jour du 26/09/2024 : ajout de versions de correctif pour GDC (VMware).
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Mise à jour : 26/09/2024
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ?Mise à jour du 26/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-031
Date de publication : 24/05/2024
Référence : CVE-2024-4323
GKE
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées. GKE n'utilise pas de version vulnérable de Fluent Bit et n'est pas concerné. Que dois-je faire ?GKE n'est pas concerné par cette faille. Vous n'avez rien à faire. |
Aucune |
GKE sur VMware
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées. GKE sur VMware n'utilise pas de version vulnérable de Fluent Bit et n'est pas affecté. Que dois-je faire ?GKE sur VMware n'est pas affecté par cette faille. Vous n'avez rien à faire. |
Aucune |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées. GKE sur AWS n'utilise pas de version vulnérable de Fluent Bit et n'est pas affecté. Que dois-je faire ?GKE sur AWS n'est pas concerné par cette faille. Vous n'avez rien à faire. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées. GKE sur Azure n'utilise pas de version vulnérable de Fluent Bit et n'est pas concerné. Que dois-je faire ?GKE sur Azure n'est pas concerné par cette faille. Vous n'avez rien à faire. |
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées. GKE on Bare Metal n'utilise pas de version vulnérable de Fluent Bit et n'est pas affecté. Que dois-je faire ?GKE on Bare Metal n'est pas affecté par cette faille. Vous n'avez rien à faire. |
Aucune |
GCP-2024-030
Date de publication : 15/05/2024
Dernière mise à jour : 18/07/2024
Référence : CVE-2023-52620
Mise à jour du 18/07/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
GKE
Mise à jour : 18/07/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 18/07/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-029
Date de publication : 14/05/2024
Dernière mise à jour : 19/08/2024
Référence : CVE-2024-26642
Mise à jour du 19/08/2024 : ajout de versions de correctif pour les nœuds Ubuntu.
GKE
Mise à jour : 19/08/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 19/08/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-028
Date de publication : 13/05/2024
Dernière mise à jour : 22/05/2024
Référence : CVE-2024-26581
Mise à jour du 22/052024 : ajout de versions de correctif pour les nœuds Ubuntu.
GKE
Mise à jour : 22/05/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 05/22/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-027
Date de publication : 08/05/2024
Dernière mise à jour : 25/09/2024
Référence : CVE-2024-26808
Mise à jour du 25/09/2024 : Ajout de versions corrigées pour GDC (VMware).
Mise à jour du 15/05/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu GKE.
Mise à jour du 9/05/2024 : gravité corrigée de "Moyenne" à "Élevée" et clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
GKE
Mise à jour : 09/05/2024, 15/05/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Mise à jour du 9 mai 2024: gravité corrigée de "Moyenne" à "Élevée".
Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 15/05/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Mise à jour : 25/09/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 25/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :
|
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-026
Date de publication : 05/07/2024
Dernière mise à jour : 06/08/2024
Référence : CVE-2024-26643
Mise à jour du 06/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
Mise à jour du 9 mai 2024 : gravité corrigée de "Moyenne" à "Élevée".
GKE
Mise à jour : 06/08/2024
Description | Gravité |
---|---|
Mise à jour du 9 mai 2024 : gravité corrigée de "Moyenne" à "Élevée". Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 06/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE. Les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-024
Date de publication : 25/04/2024
Dernière mise à jour : 18/07/2024
Référence : CVE-2024-26585
Mise à jour du 18/07/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.
GKE
Mise à jour : 18/07/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 18/07/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-022
Date de publication : 03/04/2024
Dernière mise à jour : 17/07/2024
Référence : CVE-2023-45288
Mise à jour du 17/07/2024 : ajout de versions de correctif pour GKE sur VMware.
Mise à jour du 09/07/2024 : ajout de versions de correctif pour GKE on Bare Metal.
Mise à jour du 24/04/2024 : Ajout de versions de correctif pour GKE.
GKE
Mise à jour : 24/04/2024
Description | Gravité |
---|---|
Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE). Les clusters GKE avec des réseaux autorisés configurés sont protégés en limitant l'accès au réseau, mais tous les autres clusters sont concernés. Les clusters GKE Autopilot et Standard sont affectés. Que dois-je faire ?Mise à jour du 24/04/2024: ajout de versions de correctif pour GKE. Les versions suivantes de GKE incluent les correctifs de sécurité Golang pour corriger cette faille. Mettez à niveau vos clusters GKE vers les versions suivantes ou ultérieures :
Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance. Pour atténuer ce problème, configurez des réseaux autorisés pour l'accès au plan de contrôle :Vous pouvez protéger vos clusters contre cette classe d'attaques en configurant des réseaux autorisés. Suivez les instructions pour activer les réseaux autorisés pour un cluster existant. Pour en savoir plus sur la façon dont les réseaux autorisés contrôlent l'accès au plan de contrôle, consultez la section Fonctionnement des réseaux autorisés. Pour afficher l'accès réseau autorisé par défaut, consultez le tableau de la section Accès aux points de terminaison du plan de contrôle. Quelles failles ce correctif permet-il de résoudre ?La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes. |
Élevée |
GKE sur VMware
Mise à jour : 17/07/2024
Description | Gravité |
---|---|
Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE). Que dois-je faire ?Mise à jour du 17/07/2024: Ajout de versions de correctif pour GKE sur VMware. Les versions suivantes de GKE sur VMware incluent du code pour corriger cette faille. Mettez à niveau vos clusters GKE sur VMware vers les versions suivantes ou ultérieures :
Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE sur VMware intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance. Quelles failles ce correctif permet-il de résoudre ?La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes. |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE). Que dois-je faire ?Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE sur AWS intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance. Quelles failles ce correctif permet-il de résoudre ?La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes. |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE). Que dois-je faire ?Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE sur Azure intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance. Quelles failles ce correctif permet-il de résoudre ?La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes. |
Élevée |
GKE sur solution Bare Metal
Mise à jour : 09/07/2024
Description | Gravité |
---|---|
Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE). Que dois-je faire ?Mise à jour du 09/07/2024 : ajout de versions de correctif pour GKE on Bare Metal. Les versions suivantes de GKE on Bare Metal incluent du code pour corriger cette faille. Mettez à niveau vos clusters GKE on Bare Metal vers les versions suivantes ou ultérieures :
Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE on Bare Metal intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance. Quelles failles ce correctif permet-il de résoudre ?La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes. |
Élevée |
GCP-2024-018
Date de publication : 12/03/2024
Dernière mise à jour : 05/06/2024
Référence : CVE-2024-1085
Mise à jour du 06/05/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu GKE et suppression d'un élément de ligne horizontale supplémentaire de la mise à jour du 04/04/2024.
Mise à jour du 04/04/2024 : correction des versions minimales pour les pools de nœuds GKE Container-Optimized OS.
GKE
Mise à jour : 06/05/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 06/05/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures.
Mise à jour du 04/04/2024 : correction des versions minimales pour les pools de nœuds GKE Container-Optimized OS. Les versions minimales de GKE contenant les correctifs pour Container-Optimized OS listées précédemment étaient incorrectes. Les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Container-Optimized OS. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-017
Date de publication : 01/08/2024
Référence : CVE-2023-3611
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-014
Date de publication : 26/02/2024
Référence : CVE-2023-3776
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-013
Date de publication : 23/02/2024
Référence : CVE-2023-3610
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-012
Date de publication : 20/02/2024
Référence : CVE-2024-0193
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-011
Date de publication : 15/02/2024
Référence : CVE-2023-6932
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-010
Date de publication : 14/02/2024
Dernière mise à jour : 17/04/2024
Référence : CVE-2023-6931
Mise à jour du 17/04/2024 : ajout de versions de correctif pour GKE sur VMware.
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Mise à jour : 17/04/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 17/04/2024: Ajout de versions de correctif pour GKE sur VMware. Les versions suivantes de GKE sur VMware sont mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures :
|
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-008
Date de publication : 02/12/2024
Référence : CVE-2023-5528
GKE
Description | Gravité |
---|---|
CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les droits d'administrateur sur ces nœuds. Les clusters GKE Standard exécutant des nœuds Windows Server et utilisant un plug-in de stockage dans l'arborescence peuvent être concernés. Les clusters GKE Autopilot et les pools de nœuds GKE utilisant GKE Sandbox ne sont pas affectés, car ils ne sont pas compatibles avec les nœuds Windows Server. Que dois-je faire ?Déterminez si des nœuds Windows Server sont utilisés sur vos clusters : kubectl get nodes -l kubernetes.io/os=windows Vérifiez les journaux d'audit pour détecter toute preuve d'exploitation. Les journaux d'audit Kubernetes peuvent être audités pour déterminer si cette faille est exploitée. Les événements de création de volumes persistants avec des champs de chemin d'accès locaux contenant des caractères spéciaux sont un signe fort d'exploitation. Mettez à jour votre cluster GKE et vos pools de nœuds vers une version corrigée. Les versions suivantes de GKE ont été mises à jour pour corriger cette faille. Même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds Windows Server vers l'une des versions GKE suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. Quelles failles ce correctif permet-il de résoudre ?CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les droits d'administrateur sur ces nœuds. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les privilèges d'administrateur sur ces nœuds. Les clusters GKE sur VMware exécutant des nœuds Windows Server et utilisant un plug-in de stockage dans l'arborescence peuvent être concernés. Que dois-je faire ?Déterminez si des nœuds Windows Server sont utilisés sur vos clusters : kubectl get nodes -l kubernetes.io/os=windows Vérifiez les journaux d'audit pour détecter toute preuve d'exploitation. Les journaux d'audit Kubernetes peuvent être audités pour déterminer si cette faille est exploitée. Les événements de création de volumes persistants avec des champs de chemin d'accès locaux contenant des caractères spéciaux sont un signe fort d'exploitation. Mettez à jour votre cluster GKE sur VMware et vos pools de nœuds vers une version corrigée. Les versions suivantes de GKE sur VMware ont été mises à jour pour corriger cette faille. Même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds Windows Server vers l'une des versions de GKE sur VMware suivantes ou une version ultérieure :
Quelles failles ce correctif permet-il de résoudre ?CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les privilèges d'administrateur sur ces nœuds. |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les privilèges d'administrateur sur ces nœuds. Les clusters GKE sur AWS ne sont pas affectés. Que dois-je faire ?Aucune action requise |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les privilèges d'administrateur sur ces nœuds. Les clusters GKE sur Azure ne sont pas affectés. Que dois-je faire ?Aucune action requise |
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à accroître les privilèges d'administrateur sur ces nœuds. Les clusters GKE on Bare Metal ne sont pas concernés. Que dois-je faire ?Aucune action requise |
Aucune |
GCP-2024-005
Date de publication : 31/01/2024
Dernière mise à jour : 06/05/2024
Référence : CVE-2024-21626
Mise à jour du 06/05/2024 : ajout de versions de correctif pour GKE sur AWS et GKE sur Azure.
Mise à jour du 2 avril 2024 : Ajout de versions de correctif pour GKE on Bare Metal
Mise à jour du 6 mars 2024 : Ajout de versions de correctif pour GKE sur VMware
Mise à jour du 28 février 2024 : Ajout de versions de correctif pour Ubuntu
Mise à jour du 15 février 2024 : Clarification selon laquelle les versions de correctif Ubuntu 1.25 et 1.26 de la mise à jour du 14 février 2024 peuvent entraîner des problèmes de disponibilité des nœuds.
Mise à jour du 14/02/2024 : ajout de versions de correctifs pour Ubuntu
Mise à jour du 06/02/2024 : ajout de versions de correctifs pour Container-Optimized OS.
GKE
Mise à jour : 06/03/2024
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2024-21626, a été détectée dans Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 28/02/2024 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieures :
Mise à jour du 15/02/2024 : en raison d'un problème, les versions de correctif Ubuntu suivantes de la mise à jour du 14/02/2024 peuvent entraîner un état non fonctionnel de vos nœuds. Ne mettez pas à niveau vers les versions de correctif suivantes. Nous mettrons à jour ce bulletin lorsque de nouvelles versions de correctif pour Ubuntu seront disponibles pour les versions 1.25 et 1.26.
Si vous avez déjà effectué la mise à niveau vers l'une de ces versions de correctif, revenez manuellement à une version antérieure de votre canal de publication. Mise à jour du 14/02/2024 : les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieures :
Mise à jour du 06/02/2024 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille dans Container-Optimized OS. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds de Container-Optimized OS vers l'une des versions de GKE suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. Nous mettons à jour GKE avec du code pour corriger cette faille. Nous mettrons à jour ce bulletin lorsque les versions de correctif seront disponibles. Quelles failles ce correctif permet-il de résoudre ?
|
Élevée |
GKE sur VMware
Mise à jour : 06/03/2024
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2024-21626, a été détectée dans Que dois-je faire ?Mise à jour du 06/03/2024 : le code des versions suivantes de GKE sur VMware a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures :
Les versions de correctif et l'évaluation de la gravité pour GKE sur VMware sont en cours. Nous mettrons à jour ce bulletin avec ces informations dès qu'elles seront disponibles. Quelles failles ce correctif permet-il de résoudre ?
|
Élevée |
GKE sur AWS
Mise à jour : 06/05/2024
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2024-21626, a été détectée dans Que dois-je faire ?Mise à jour du 06/05/2024 : les versions suivantes de GKE sur AWS ont été mises à jour avec des correctifs pour CVE-2024-21626 :
Les versions de correctif et l'évaluation de la gravité pour GKE sur AWS sont en cours. Nous mettrons à jour ce bulletin avec ces informations dès qu'elles seront disponibles. Quelles failles ce correctif permet-il de résoudre ?
|
Élevée |
GKE sur Azure
Mise à jour : 06/05/2024
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2024-21626, a été détectée dans Que dois-je faire ?Mise à jour du 06/05/2024 : les versions suivantes de GKE sur Azure ont été mises à jour avec des correctifs pour CVE-2024-21626 :
Les versions de correctif et l'évaluation de la gravité pour GKE sur Azure sont en cours. Nous mettrons à jour ce bulletin avec ces informations dès qu'elles seront disponibles. Quelles failles ce correctif permet-il de résoudre ?
|
Élevée |
GKE sur solution Bare Metal
Mise à jour : 02/04/2024
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2024-21626, a été détectée dans Que dois-je faire ?Mise à jour du 02/04/2024 : le code des versions suivantes de GKE on Bare Metal a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures :
Les versions de correctif et l'évaluation de la gravité pour GKE sur Bare Metal sont en cours. Nous mettrons à jour ce bulletin avec ces informations dès qu'elles seront disponibles. Quelles failles ce correctif permet-il de résoudre ?
|
Élevée |
GCP-2024-004
Date de publication : 24/01/2024
Dernière mise à jour : 07/02/2024
Référence : CVE-2023-6817
Mise à jour du 07/02/2024 : ajout de versions de correctif pour Ubuntu.
GKE
Mise à jour : 07/02/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 07/02/2024 : les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2024-003
Date de publication : 19/01/2024
Mise à jour : 26/01/2024
Mise à jour du 26/01/2024 : clarification du nombre de clusters concernés et des actions que nous avons prises pour limiter l'impact.
GKE
Mise à jour : 26/01/2024
Description | Gravité |
---|---|
Mise à jour du 26/01/2024 : une étude de sécurité a révélé qu'un petit nombre de clusters GKE présentaient une erreur de configuration créée par le client impliquant le groupe Nous avons identifié plusieurs clusters dans lesquels des utilisateurs ont accordé des droits Kubernetes au groupe Récemment, un chercheur en sécurité a signalé des clusters présentant des erreurs de configuration RBAC via notre programme de signalement des failles. L'approche d'authentification de Google consiste à rendre l'authentification à Google Cloud et à GKE aussi simple et sécurisée que possible, sans ajouter de procédures de configuration complexes.
L'authentification nous indique simplement qui est l'utilisateur. C'est l'autorisation qui détermine l'accès. Par conséquent, le groupe Dans cette optique, nous avons pris plusieurs mesures pour réduire le risque que les utilisateurs commettent des erreurs d'autorisation avec les utilisateurs et les groupes intégrés Kubernetes, y compris Pour protéger les utilisateurs contre les erreurs d'autorisation accidentelles avec ces utilisateurs/groupes système, nous avons mis en place les mesures suivantes :
Les clusters qui appliquent des restrictions de réseaux autorisés disposent d'une première couche de défense : ils ne peuvent pas être attaqués directement depuis Internet. Nous vous recommandons toutefois de supprimer ces liaisons pour une défense en profondeur et pour vous prémunir contre les erreurs dans les commandes réseau. Nous étudions des moyens de mieux nous protéger contre les erreurs de configuration de l'RBAC utilisateur avec ces utilisateurs/groupes système grâce à la prévention et à la détection. Que dois-je faire ?Pour éviter toute nouvelle liaison de Les liaisons existantes doivent être examinées en suivi de ces consignes. |
Moyenne |
GKE sur VMware
Aucune mise à jour pour le moment.
GKE sur AWS
Aucune mise à jour pour le moment.
GKE sur Azure
Aucune mise à jour pour le moment.
GKE sur solution Bare Metal
Aucune mise à jour pour le moment.
GCP-2024-002
Date de publication : 17/01/2024
Dernière mise à jour : 20/02/2024
Référence : CVE-2023-6111
Mise à jour du 20/02/2024 : ajout de versions de correctif pour GKE sur VMware.
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Mise à jour : 20/02/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ?Mise à jour du 20/02/2024 : les versions suivantes de GKE sur VMware sont mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures : 1.28.100 |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-051
Date de publication : 28/12/2023
Référence : CVE-2023-3609
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-050
Date de publication : 27/12/2023
Référence : CVE-2023-3389
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-049
Date de publication : 20/12/2023
Référence : CVE-2023-3090
GKE
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-048
Date de publication : 15/12/2023
Dernière mise à jour : 21/12/2023
Référence : CVE-2023-3390
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
GKE
Mise à jour : 21/12/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-047
Date de publication : 14/12/2024
GKE
Description | Gravité |
---|---|
Un pirate informatique qui a compromis le conteneur de journalisation Fluent Bit peut combiner cet accès avec les privilèges élevés requis par Cloud Service Mesh (sur les clusters qui l'ont activé) pour accroître les privilèges dans le cluster. Les problèmes liés à Fluent Bit et à Cloud Service Mesh ont été atténués, et des correctifs sont désormais disponibles. Ces failles ne sont pas exploitables par elles-mêmes dans GKE et nécessitent une compromission initiale. Nous n'avons connaissance d'aucun cas d'exploitation de ces failles. Ces problèmes ont été signalés via notre Programme de récompenses pour la détection de failles. Que dois-je faire ?Les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles dans Fluent Bit et pour les utilisateurs de Cloud Service Mesh géré. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions GKE suivantes ou une version ultérieure :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Si votre cluster utilise Cloud Service Mesh dans le cluster, vous devez passer manuellement à la version suivante (notes de version) :
Quelles failles ce correctif permet-il de résoudre ? Pour exploiter les failles décrites dans ce bulletin, un pirate informatique doit compromettre le conteneur de journalisation Fluent Bit. Nous ne sommes au courant d'aucune faille de sécurité existante dans Fluent Bit qui pourrait entraîner cette condition préalable à l'élévation de privilèges. Nous avons corrigé ces failles à titre de mesure de renforcement afin d'éviter une chaîne d'attaque complète potentielle à l'avenir. GKE utilise Fluent Bit pour traiter les journaux des charges de travail exécutées sur des clusters. Fluent Bit sur GKE a également été configuré pour collecter les journaux des charges de travail Cloud Run. Le montage de volume configuré pour collecter ces journaux a donné à Fluent Bit accès aux jetons de compte de service Kubernetes pour d'autres pods exécutés sur le nœud. Le chercheur a utilisé cet accès pour découvrir un jeton de compte de service hautement privilégié pour les clusters sur lesquels Cloud Service Mesh est activé. Cloud Service Mesh nécessitait des droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour étendre ses droits d'accès initialement compromis en créant un pod avec des droits d'administrateur de cluster. Nous avons supprimé l'accès de Fluent Bit aux jetons de compte de service et repensé la fonctionnalité de Cloud Service Mesh pour supprimer les privilèges en trop. |
Moyenne |
GKE sur VMware
Description | Gravité |
---|---|
Seuls les clusters GKE sur VMware utilisant Cloud Service Mesh sont concernés. Que dois-je faire ?Si votre cluster utilise Cloud Service Mesh intégré, vous devez passer manuellement à la version suivante (notes de version) :
Quelles failles ce correctif permet-il de résoudre ?Pour exploiter les failles décrites dans ce bulletin, un pirate informatique doit d'abord compromettre ou autrement s'échapper d'un conteneur, ou disposer des droits racine sur un nœud de cluster. Nous ne sommes au courant d'aucune faille de sécurité existante qui pourrait entraîner cette condition préalable à l'élévation de privilèges. Nous avons corrigé ces failles à titre de mesure de renforcement pour éviter qu'une chaîne d'attaque complète ne se produise à l'avenir. Cloud Service Mesh nécessitait des droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour étendre ses droits d'accès initialement compromis en créant un pod avec des droits d'administrateur de cluster. Nous avons repensé les fonctionnalités de Cloud Service Mesh pour supprimer les privilèges excessifs. |
Moyenne |
GKE sur AWS
Description | Gravité |
---|---|
Seuls les clusters GKE sur AWS utilisant Cloud Service Mesh sont concernés. Que dois-je faire ?Si votre cluster utilise Cloud Service Mesh intégré, vous devez passer manuellement à la version suivante (notes de version) :
Quelles failles ce correctif permet-il de résoudre ?Pour exploiter les failles décrites dans ce bulletin, un pirate informatique doit d'abord compromettre ou autrement s'échapper d'un conteneur, ou disposer des droits racine sur un nœud de cluster. Nous ne sommes au courant d'aucune faille de sécurité existante qui pourrait entraîner cette condition préalable à l'élévation de privilèges. Nous avons corrigé ces failles à titre de mesure de renforcement afin d'éviter une chaîne d'attaque complète à l'avenir. Cloud Service Mesh nécessitait des droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour étendre ses droits d'accès initialement compromis en créant un pod avec des droits d'administrateur de cluster. Nous avons repensé les fonctionnalités de Cloud Service Mesh pour supprimer les privilèges excessifs. |
Moyenne |
GKE sur Azure
Description | Gravité |
---|---|
Seuls les clusters GKE sur Azure utilisant Cloud Service Mesh sont concernés. Que dois-je faire ?Si votre cluster utilise Cloud Service Mesh intégré, vous devez passer manuellement à la version suivante (notes de version) :
Quelles failles ce correctif permet-il de résoudre ?Pour exploiter les failles décrites dans ce bulletin, un pirate informatique doit d'abord compromettre ou autrement s'échapper d'un conteneur, ou disposer des droits racine sur un nœud de cluster. Nous ne sommes au courant d'aucune faille de sécurité existante qui pourrait entraîner cette condition préalable à l'élévation de privilèges. Nous avons corrigé ces failles à titre de mesures de renforcement pour éviter qu'une chaîne d'attaque complète ne se produise à l'avenir. Cloud Service Mesh nécessitait des droits élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour étendre ses droits d'accès initialement compromis en créant un pod avec des droits d'administrateur de cluster. Nous avons repensé les fonctionnalités de Cloud Service Mesh pour supprimer les privilèges excessifs. |
Moyenne |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Seuls les clusters GKE on Bare Metal utilisant Cloud Service Mesh sont concernés. Que dois-je faire ?Si votre cluster utilise Cloud Service Mesh intégré, vous devez passer manuellement à la version suivante (notes de version) :
Quelles failles ce correctif permet-il de résoudre ?Pour exploiter les failles décrites dans ce bulletin, un pirate informatique doit d'abord compromettre ou autrement s'échapper d'un conteneur, ou disposer des droits racine sur un nœud de cluster. Nous ne sommes au courant d'aucune faille de sécurité existante qui pourrait entraîner cette condition préalable à l'élévation de privilèges. Nous avons corrigé ces failles à titre de mesure de renforcement afin d'éviter une chaîne d'attaque complète à l'avenir. Anthos Service Mesh nécessitait des privilèges élevés pour apporter les modifications nécessaires à la configuration d'un cluster, y compris la possibilité de créer et de supprimer des pods. Le chercheur a utilisé le jeton de compte de service Kubernetes privilégié de Cloud Service Mesh pour étendre ses droits d'accès initialement compromis en créant un pod avec des droits d'administrateur de cluster. Nous avons repensé les fonctionnalités de Cloud Service Mesh pour supprimer les privilèges excessifs. |
Moyenne |
GCP-2023-046
Date de publication : 22/11/2023
Dernière mise à jour : 04/03/2024
Référence : CVE-2023-5717
Mise à jour du 04/03/2024 : ajout de versions GKE pour GKE sur VMware.
Mise à jour du 22/01/2024 : ajout de versions de correctif Ubuntu.
GKE
Mise à jour : 22/01/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 22/01/2024 : les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Mise à jour : 29/02/2024
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Mise à jour du 04/03/2024 : le code des versions suivantes de GKE sur VMware a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures :
|
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-045
Date de publication : 20/11/2023
Dernière mise à jour : 21/12/2023
Référence : CVE-2023-5197
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
GKE
Mise à jour : 21/12/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters GKE Standard et Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :
Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version du correctif devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-042
Date de publication : 13/11/2023
Dernière mise à jour : 15/11/2023
Référence : CVE-2023-4147
Mise à jour du 15/11/2023 : clarification indiquant que seules les versions mineures listées doivent passer à une version corrigée correspondante pour GKE.
GKE
Mise à jour : 15/11/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot ne sont pas concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 15/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Par exemple, si vous utilisez la version 1.27 de GKE, vous devez passer à la version avec correctif correspondante. Toutefois, si vous utilisez la version 1.24 de GKE, vous n'avez pas besoin de passer à une version avec correctif. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :
Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :
Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans son propre canal de publication. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre canal de publication. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-041
Date de publication : 08/11/2023
Dernière mise à jour : 21/11/2023, 05/12/2023, 21/12/2023
Référence : CVE-2023-4004
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
Mise à jour du 05/12/2023 : ajout de versions GKE supplémentaires pour les pools de nœuds Container-Optimized OS.
Mise à jour du 21/11/2023 : clarification indiquant que seules les versions mineures listées doivent passer à une version de correctif correspondante pour GKE.
GKE
Mise à jour : 21/11/2023, 05/12/2023, 21/12/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 05/12/2023 : certaines versions de GKE étaient auparavant manquantes. Vous trouverez ci-dessous la liste actualisée des versions de GKE vers lesquelles vous pouvez mettre à jour votre système d'exploitation Container-Optimized OS :
Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :
Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :
|
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-040
Date de publication : 06/11/2023
Dernière mise à jour : 21/11/2021, 21/12/2023
Référence : CVE-2023-4921
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
Mise à jour du 21/11/2023 : clarification indiquant que seules les versions mineures listées doivent passer à une version de correctif correspondante pour GKE.
GKE
Mise à jour : 21/11/2023, 21/12/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :
Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :
|
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-039
Date de publication : 06/11/2023
Dernière mise à jour : 21/11/2023, 16/11/2023
Référence : CVE-2023-4622
Mise à jour du 21/11/2023 : clarification indiquant que seules les versions mineures listées doivent passer à une version de correctif correspondante pour GKE.
Mise à jour du 16/11/2023 : la faille associée à ce bulletin de sécurité est CVE-2023-4622. La faille CVE-2023-4623 était incorrectement listée comme faille dans une version précédente du bulletin de sécurité.
GKE
Mise à jour : 21/11/2023, 16/11/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Les clusters Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :
Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :
|
Élevée |
GKE sur VMware
Mise à jour : 16/11/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Mise à jour : 16/11/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Mise à jour : 16/11/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Mise à jour : 16/11/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-038
Date de publication : 06/11/2023
Dernière mise à jour : 21/11/2023, 21/12/2023
Référence : CVE-2023-4623
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
Mise à jour du 21/11/2023 : clarification indiquant que seules les versions mineures listées doivent passer à une version de correctif correspondante pour GKE.
GKE
Mise à jour : 21/11/2023, 21/12/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :
Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :
|
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-037
Date de publication : 06/11/2023
Dernière mise à jour : 21/11/2023
Référence : CVE-2023-4015
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
Mise à jour du 21/11/2023 : clarification indiquant que seules les versions mineures listées doivent passer à une version de correctif correspondante pour GKE.
GKE
Mise à jour : 21/11/2023, 21/12/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :
Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :
|
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
En attente |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2023-035
Date de publication : 26 octobre 2023
Mise à jour : 21 novembre 2023, 21 décembre 2023
Référence :CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
Mise à jour du 21/11/2023 : clarification indiquant que seules les versions mineures listées doivent passer à une version de correctif correspondante pour GKE.
GKE
Mise à jour : 21/11/2023, 21/12/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters Autopilot sont concernés. Les clusters utilisant GKE Sandbox ne sont pas concernés. Que dois-je faire ?Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :
Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :
|
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
Élevée |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
Élevée |
GCP-2023-033
Date de publication : 24/10/2023
Dernière mise à jour : 21/11/2023, 21/12/2023
Référence : CVE-2023-3777
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés et que les charges de travail GKE Sandbox ne sont pas concernées.
Mise à jour du 21/11/2023 : clarification indiquant que seules les versions mineures listées doivent passer à une version de correctif correspondante pour GKE.
GKE
Mise à jour : 21/11/2023, 21/12/2023
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters Autopilot sont concernés. Les clusters qui utilisent GKE Sandbox sont concernés. Que dois-je faire ?Mise à jour du 21/11/2023 : vous n'avez besoin de passer à l'une des versions corrigées indiquées dans ce bulletin que si vous utilisez cette version mineure dans vos nœuds. Les versions mineures qui ne sont pas listées ne sont pas concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions suivantes ou une version ultérieure :
Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :
|
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
GKE sur AWS
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
GKE sur Azure
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ? |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :
Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution. |
GCP-2023-030
Date de publication : 10/10/2023
Dernière mise à jour : 20/03/2024
Référence : CVE-2023-44487
CVE-2023-39325
Mise à jour du 20/03/2024 : Ajout de versions de correctif pour GKE sur AWS et GKE sur Azure.
Mise à jour du 14/02/2024 : Ajout de versions de correctif pour GKE sur VMware.
Mise à jour du 09/11/2023 : Ajout de CVE-2023-39325. Mise à jour des versions de GKE avec les derniers correctifs pour CVE-2023-44487 et CVE-2023-39325.
GKE
Mise à jour : 09-11-2023
Description | Gravité |
---|---|
Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un déni de service du plan de contrôle de Google Kubernetes Engine (GKE). Les clusters GKE avec des réseaux autorisés configurés sont protégés en limitant l'accès au réseau, mais tous les autres clusters sont concernés. Que dois-je faire ?Mise à jour du 09/11/2023 : nous avons publié de nouvelles versions de GKE qui incluent les correctifs de sécurité Go et Kubernetes, que vous pouvez appliquer à vos clusters dès maintenant. Dans les semaines à venir, nous apporterons d'autres modifications au plan de contrôle GKE pour atténuer davantage ce problème. Les versions suivantes de GKE ont été mises à jour avec des correctifs pour les failles CVE-2023-44487 et CVE-2023-39325 :
Nous vous recommandons d'appliquer la mesure d'atténuation suivante dès que possible et de passer à la dernière version du correctif lorsqu'elle sera disponible. Les correctifs Golang seront publiés le 10 octobre. Une fois disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs et créerons une version de GKE avec correctifs. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin pour vous indiquer la version vers laquelle mettre à niveau votre plan de contrôle. Nous rendrons également les correctifs visibles dans la stratégie de sécurité de GKE, lorsqu'ils seront disponibles pour votre cluster. Pour recevoir une notification Pub/Sub lorsqu'un correctif est disponible pour votre canal, activez les notifications de cluster. Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Pour atténuer ce problème, configurez des réseaux autorisés pour l'accès au plan de contrôle : Vous pouvez ajouter des réseaux autorisés pour des clusters existants. Pour en savoir plus, consultez la section Réseau autorisé pour les clusters existants. En plus des réseaux autorisés que vous ajoutez, des adresses IP prédéfinies peuvent accéder au plan de contrôle GKE. Pour en savoir plus sur ces adresses, consultez la section Accès aux points de terminaison du plan de contrôle. Les éléments suivants résument l'isolation du cluster :
Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle GKE. |
Élevée |
GKE sur VMware
Mise à jour : 14/02/2024
Description | Gravité |
---|---|
Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. La faille pourrait entraîner un déni de service du plan de contrôle Kubernetes. GKE sur VMware crée des clusters Kubernetes qui ne sont pas directement accessibles depuis Internet par défaut et qui sont protégés contre cette faille. Que dois-je faire ?Mise à jour du 14/02/2024 : les versions suivantes de GKE sur VMware sont mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers les versions de correctif suivantes ou ultérieures :
Si vous avez configuré GKE sur VMware sur des clusters Kubernetes pour avoir un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de travailler avec votre administrateur de pare-feu pour bloquer ou limiter cet accès. Nous vous recommandons de passer à la dernière version du correctif dès qu'elle est disponible. Les correctifs Golang seront publiés le 10 octobre. Une fois disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs et créerons une version de GKE avec correctifs. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin pour vous indiquer la version vers laquelle mettre à niveau votre plan de contrôle. Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes. |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. La faille pourrait entraîner un déni de service du plan de contrôle Kubernetes. GKE sur AWS crée des clusters Kubernetes privés qui ne sont pas directement accessibles depuis Internet par défaut et qui sont protégés contre cette faille. Que dois-je faire ?Mise à jour du 20/03/2024 : les versions suivantes de GKE sur AWS ont été mises à jour avec des correctifs pour CVE-2023-44487 :
Si vous avez configuré GKE sur AWS pour avoir un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de travailler avec votre administrateur de pare-feu pour bloquer ou limiter cet accès. Nous vous recommandons de passer à la dernière version du correctif dès qu'elle est disponible. Les correctifs Golang seront publiés le 10 octobre. Une fois disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs et créerons une version de GKE avec correctifs. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin pour vous indiquer la version vers laquelle mettre à niveau votre plan de contrôle. Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes. |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. La faille pourrait entraîner un déni de service du plan de contrôle Kubernetes. GKE sur Azure crée des clusters Kubernetes privés qui ne sont pas directement accessibles depuis Internet par défaut et qui sont protégés contre cette faille. Que dois-je faire ?Mise à jour du 20-03-2024 : les versions suivantes de GKE sur Azure ont été mises à jour avec des correctifs pour CVE-2023-44487 :
Si vous avez configuré GKE sur des clusters Azure pour avoir un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de travailler avec votre administrateur de pare-feu pour bloquer ou limiter cet accès. Nous vous recommandons de passer à la dernière version du correctif dès qu'elle est disponible. Les correctifs Golang seront publiés le 10 octobre. Une fois disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs et créerons une version de GKE avec correctifs. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin pour vous indiquer la version vers laquelle mettre à niveau votre plan de contrôle.Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes. |
Élevée |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une faille par déni de service (DoS) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), y compris le serveur HTTP golang utilisé par Kubernetes. La faille pourrait entraîner un déni de service du plan de contrôle Kubernetes. Anthos sur Bare Metal crée des clusters Kubernetes qui ne sont pas directement accessibles depuis Internet par défaut et qui sont protégés contre cette faille. Que dois-je faire ?Si vous avez configuré vos clusters Kubernetes Anthos sur Bare Metal pour avoir un accès direct à Internet ou à d'autres réseaux non approuvés, nous vous recommandons de travailler avec votre administrateur de pare-feu pour bloquer ou limiter cet accès. Pour en savoir plus, consultez la présentation de la sécurité de GKE sur Bare Metal. Nous vous recommandons de passer à la dernière version du correctif dès qu'elle est disponible. Les correctifs Golang seront publiés le 10 octobre. Une fois disponibles, nous créerons et qualifierons un nouveau serveur d'API Kubernetes avec ces correctifs et créerons une version de GKE avec correctifs. Une fois la version de GKE disponible, nous mettrons à jour ce bulletin pour vous indiquer la version vers laquelle mettre à niveau votre plan de contrôle. Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2023-44487 permet à un pirate informatique d'exécuter une attaque par déni de service sur les nœuds du plan de contrôle Kubernetes. |
Élevée |
GCP-2023-026
Date de publication : 06-09-2023
Référence : CVE-2023-3676, CVE-2023-3955, CVE-2023-3893
GKE
Description | Gravité |
---|---|
Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été détectées dans Kubernetes, où un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI Kubernetes. Les clusters GKE ne sont affectés que s'ils incluent des nœuds Windows. Que dois-je faire ?Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes :
Le plan de contrôle GKE sera mis à jour la semaine du 4 septembre 2023 pour mettre à niveau le csi-proxy vers la version 1.1.3. Si vous mettez à jour vos nœuds avant la mise à jour du plan de contrôle, vous devrez les remettre à jour après la mise à jour du plan de contrôle pour profiter du nouveau proxy. Vous pouvez remettre à jour les nœuds, même sans modifier la version du nœud, en exécutant la commande Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2023-3676, un acteur malveillant peut créer une spécification de pod avec des chaînes de chemin d'hôte contenant des commandes PowerShell. Kubelet ne dispose pas du nettoyage des entrées et transmet cette chaîne de chemin d'accès à l'exécuteur de commandes en tant qu'argument, où il exécuterait des parties de la chaîne en tant que commandes distinctes. Ces commandes s'exécutent avec les mêmes droits d'administration que Kubelet. Avec CVE-2023-3955, Kubelet permet aux utilisateurs pouvant créer des pods d'exécuter du code au même niveau d'autorisation que l'agent Kubelet, à savoir des autorisations privilégiées. Avec CVE-2023-3893, un manque similaire de nettoyage des entrées permet à un utilisateur pouvant créer des pods sur des nœuds Windows exécutant kubernetes-csi-proxy d'obtenir des droits d'administrateur sur ces nœuds. Les journaux d'audit Kubernetes peuvent être utilisés pour détecter si cette faille est exploitée. Les événements de création de pod avec des commandes PowerShell intégrées sont un signe fort d'exploitation. Les ConfigMaps et les secrets qui contiennent des commandes PowerShell intégrées et qui sont installés dans des pods sont également un signe fort d'exploitation. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été détectées dans Kubernetes, où un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI Kubernetes. Les clusters ne sont affectés que s'ils incluent des nœuds Windows. Que dois-je faire ?Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2023-3676, un acteur malveillant peut créer une spécification de pod avec des chaînes de chemin d'hôte contenant des commandes PowerShell. Kubelet ne dispose pas du nettoyage des entrées et transmet cette chaîne de chemin d'accès à l'exécuteur de commandes en tant qu'argument, où il exécuterait des parties de la chaîne en tant que commandes distinctes. Ces commandes s'exécutent avec les mêmes droits d'administration que Kubelet. Avec CVE-2023-3955, Kubelet permet aux utilisateurs pouvant créer des pods d'exécuter du code au même niveau d'autorisation que l'agent Kubelet, à savoir des autorisations privilégiées. Avec CVE-2023-3893, un manque similaire de nettoyage des entrées permet à un utilisateur pouvant créer des pods sur des nœuds Windows exécutant kubernetes-csi-proxy d'obtenir des droits d'administrateur sur ces nœuds. Les journaux d'audit Kubernetes peuvent être utilisés pour détecter si cette faille est exploitée. Les événements de création de pod avec des commandes PowerShell intégrées sont un signe fort d'exploitation. Les ConfigMaps et les secrets qui contiennent des commandes PowerShell intégrées et qui sont installés dans des pods sont également un signe fort d'exploitation. |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été détectées dans Kubernetes, où un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI Kubernetes. Que dois-je faire ?GKE sur AWS n'est pas affecté par ces CVE. Aucune action n'est requise. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été détectées dans Kubernetes, où un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI Kubernetes. Que dois-je faire ?GKE sur Azure n'est pas affecté par ces CVE. Aucune action n'est requise. |
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été détectées dans Kubernetes, où un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI Kubernetes. Que dois-je faire ?GKE on Bare Metal n'est pas affecté par ces CVE. Aucune action n'est requise. |
Aucune |
GCP-2023-018
Date de publication : 27/06/2023
Référence : CVE-2023-2235
GKE
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE Autopilot sont concernés, car les nœuds GKE Autopilot utilisent toujours des images de nœuds Container-Optimized OS. Les clusters GKE Standard version 1.25 ou ultérieure exécutant des images de nœud Container-Optimized OS sont concernés. Les clusters GKE ne sont pas affectés s'ils n'exécutent que des images de nœuds Ubuntu, s'ils exécutent des versions antérieures à la version 1.25 ou s'ils utilisent GKE Sandbox. Que dois-je faire ?Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles sont corrigées ?Avec CVE-2023-2235, la fonction perf_group_detach ne vérifiait pas l'état d'association des frères et sœurs de l'événement avant d'appeler add_event_to_groups(), mais remove_on_exec permettait d'appeler list_del_event() avant de se détacher de leur groupe, ce qui permettait d'utiliser un pointeur inutilisé, ce qui entraînait une faille d'utilisation après libération. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur VMware sont concernés. Que dois-je faire ?Quelles failles sont corrigées ?Avec CVE-2023-2235, la fonction perf_group_detach ne vérifiait pas l'état d'association des frères et sœurs de l'événement avant d'appeler add_event_to_groups(), mais remove_on_exec permettait d'appeler list_del_event() avant de se détacher de leur groupe, ce qui permettait d'utiliser un pointeur inutilisé, ce qui entraînait une faille d'utilisation après libération. |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur AWS sont affectés. Que dois-je faire ?Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2023-2235, la fonction perf_group_detach ne vérifiait pas l'état d'association des frères et sœurs de l'événement avant d'appeler add_event_to_groups(), mais remove_on_exec permettait d'appeler list_del_event() avant de se détacher de leur groupe, ce qui permettait d'utiliser un pointeur inutilisé, ce qui entraînait une faille d'utilisation après libération. |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur Azure sont concernés. Que dois-je faire ?Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2023-2235, la fonction perf_group_detach ne vérifiait pas l'état d'association des frères et sœurs de l'événement avant d'appeler add_event_to_groups(), mais remove_on_exec permettait d'appeler list_del_event() avant de se détacher de leur groupe, ce qui permettait d'utiliser un pointeur inutilisé, ce qui entraînait une faille d'utilisation après libération. |
Élevée |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Google Distributed Cloud Virtual pour Bare Metal n'est pas affecté par cette faille CVE. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GCP-2023-017
Date de publication : 26/06/2023
Dernière mise à jour : 11/07/2023
Référence : CVE-2023-31436
Mise à jour du 11/07/2023 : de nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent le problème CVE-2023-31436.
GKE
Mise à jour : 11/07/2023
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont concernés. Les clusters GKE utilisant GKE Sandbox ne sont pas affectés. Que dois-je faire ?Mise à jour du 11/07/2023 : les versions de correctif Ubuntu sont disponibles. Les versions suivantes de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent le problème CVE-2023-31436 :
Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles sont corrigées ?La faille CVE-2023-31436 a révélé une faille d'accès à la mémoire hors limites dans le sous-système de contrôle de la qualité de service (QoS) du noyau Linux, dans la façon dont un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou d'augmenter potentiellement ses droits sur le système. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur VMware sont concernés. Que dois-je faire ?Quelles failles sont corrigées ?La faille CVE-2023-31436 a révélé une faille d'accès à la mémoire hors limites dans le sous-système de contrôle de la qualité de service (QoS) du noyau Linux, dans la façon dont un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou d'augmenter potentiellement ses droits sur le système. |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur AWS sont affectés. Que dois-je faire ?Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2023-31436 a révélé une faille d'accès à la mémoire hors limites dans le sous-système de contrôle de la qualité de service (QoS) du noyau Linux, dans la façon dont un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou d'augmenter potentiellement ses droits sur le système. |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE sur Azure sont concernés. Que dois-je faire ?Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2023-31436 a révélé une faille d'accès à la mémoire hors limites dans le sous-système de contrôle de la qualité de service (QoS) du noyau Linux, dans la façon dont un utilisateur déclenche la fonction qfq_change_class avec une valeur MTU incorrecte de l'appareil réseau utilisé comme lmax. Cette faille permet à un utilisateur local de planter ou d'augmenter potentiellement ses droits sur le système. |
Élevée |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-31436) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Google Distributed Cloud Virtual pour Bare Metal n'est pas affecté par cette faille CVE. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GCP-2023-016
Date de publication: 26/06/2023
Référence:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
CVE-2023-27491,
CVE-2023-27487
GKE
Description | Gravité |
---|---|
Plusieurs failles ont été découvertes dans Envoy, qui sont utilisées dans Cloud Service Mesh (ASM). Ils ont été signalés séparément sous la référence GCP-2023-002. GKE n'est pas fourni avec ASM et n'est pas affecté par ces failles. Que dois-je faire ?Si vous avez installé ASM séparément pour vos clusters GKE, consultez GCP-2023-002. |
Aucune |
GKE sur VMware
Description | Gravité |
---|---|
Plusieurs failles (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) ont été découvertes dans Envoy, qui sont utilisées dans Cloud Service Mesh dans GKE sur VMware. Elles permettent à un pirate informatique de provoquer un déni de service ou de faire planter Envoy. Ces problèmes ont été signalés séparément sous la référence GCP-2023-002, mais nous souhaitons nous assurer que les clients GKE Enterprise mettent à jour leurs versions qui incluent ASM. Que dois-je faire ?Les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware :
Quelles failles ce correctif permet-il de résoudre ?CVE-2023-27496 : si Envoy s'exécute avec le filtre OAuth activé, un acteur malveillant peut créer une requête qui entraînerait un déni de service en faisant planter Envoy. CVE-2023-27488 : les pirates peuvent exploiter cette faille pour contourner les vérifications d'authentification lorsque ext_authz est utilisé. CVE-2023-27493 : la configuration d'Envoy doit également inclure une option permettant d'ajouter des en-têtes de requête générés à l'aide des entrées de la requête, comme le SAN du certificat de pair. CVE-2023-27492 : les pirates peuvent envoyer des corps de requête volumineux pour les itinéraires dont le filtre Lua est activé et déclencher des plantages. CVE-2023-27491 : les pirates peuvent envoyer des requêtes HTTP/2 ou HTTP/3 spécialement conçues pour déclencher des erreurs d'analyse sur le service en amont HTTP/1.
CVE-2023-27487 : l'en-tête |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Plusieurs failles (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) ont été découvertes dans Envoy, qui sont utilisées dans Cloud Service Mesh. Ils ont été signalés séparément sous la référence GCP-2023-002. GKE sur AWS n'est pas fourni avec ASM et n'est pas affecté. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Plusieurs failles (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) ont été découvertes dans Envoy, qui sont utilisées dans Cloud Service Mesh. Ils ont été signalés séparément sous la référence GCP-2023-002. GKE sur Azure n'est pas fourni avec ASM et n'est pas affecté. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Un certain nombre de failles (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) ont été découvertes dans Envoy, qui sont utilisées dans Cloud Service Mesh, dans GKE sur Bare Metal. Elles permettent à un pirate malveillant de provoquer un déni de service ou de faire planter Envoy. Ces problèmes ont été signalés séparément sous la référence GCP-2023-002, mais nous souhaitons nous assurer que les clients GKE Enterprise mettent à jour leurs versions qui incluent ASM. Que dois-je faire ?Les versions suivantes des clusters GKE on Bare Metal ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE on Bare Metal :
Quelles failles ce correctif permet-il de résoudre ?CVE-2023-27496 : si Envoy s'exécute avec le filtre OAuth activé, un acteur malveillant peut créer une requête qui entraînerait un déni de service en faisant planter Envoy. CVE-2023-27488 : les pirates peuvent exploiter cette faille pour contourner les vérifications d'authentification lorsque ext_authz est utilisé. CVE-2023-27493 : la configuration d'Envoy doit également inclure une option permettant d'ajouter des en-têtes de requête générés à l'aide des entrées de la requête, comme le SAN du certificat de pair. CVE-2023-27492 : les pirates peuvent envoyer des corps de requête volumineux pour les itinéraires dont le filtre Lua est activé et déclencher des plantages. CVE-2023-27491 : les pirates peuvent envoyer des requêtes HTTP/2 ou HTTP/3 spécialement conçues pour déclencher des erreurs d'analyse sur le service en amont HTTP/1.
CVE-2023-27487 : l'en-tête |
Élevée |
GCP-2023-015
Date de publication : 20/06/2023
Référence : CVE-2023-0468
GKE
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-0468) a été détectée dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont concernés. Les clusters GKE utilisant GKE Sandbox ne sont pas affectés. Que dois-je faire ?Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles sont corrigées ?Dans la faille CVE-2023-0468, une faille d'utilisation après libération a été découverte dans io_uring/poll.c, dans io_poll_check_events, dans le sous-composant io_uring du noyau Linux. Cette faille peut entraîner une déréférence de pointeur NULL et potentiellement un plantage du système entraînant un déni de service. |
Moyenne |
GKE sur VMware
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-0468) a été détectée dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud. GKE sur VMware utilise la version 5.4 du noyau Linux et n'est pas affecté par cette faille CVE. Que dois-je faire ?
|
Aucune |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-0468) a été détectée dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud. GKE sur AWS n'est pas affecté par cette faille CVE. Que dois-je faire ?
|
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-0468) a été détectée dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud. GKE sur Azure n'est pas affecté par cette faille CVE. Que dois-je faire ?
|
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-0468) a été détectée dans la version 5.15 du noyau Linux. Elle peut entraîner un déni de service sur le nœud. Google Distributed Cloud Virtual pour Bare Metal n'est pas affecté par cette faille CVE. Que dois-je faire ?
|
Aucune |
GCP-2023-014
Date de publication : 15/06/2023
Dernière mise à jour : 11/08/2023
Référence : CVE-2023-2727
CVE-2023-2728
Mise à jour du 11/08/2023 : Ajout de versions de correctif pour GKE sur VMware, GKE sur AWS, GKE sur Azure et GKE on Bare Metal.
GKE
Description | Gravité |
---|---|
Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes. Les utilisateurs peuvent lancer des conteneurs qui contournent les restrictions de règles lorsqu'ils utilisent des conteneurs éphémères et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728). GKE n'utilise pas ImagePolicyWebhook et n'est pas affecté par la faille CVE-2023-2727. Toutes les versions de GKE sont potentiellement vulnérables à la faille CVE-2023-2728.Que dois-je faire ?Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles sont corrigées ?Avec la faille CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions. Dans le cadre de la faille CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets installable appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. Cette règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que les secrets spécifiés dans le champ "secrets" du compte de service. Les clusters sont affectés par cette faille si :
|
Moyenne |
GKE sur VMware
Mise à jour : 11/08/2023
Description | Gravité |
---|---|
Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes. Les utilisateurs peuvent lancer des conteneurs qui contournent les restrictions de règles lorsqu'ils utilisent des conteneurs éphémères et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728). Anthos sur VMware n'utilise pas ImagePolicyWebhook et n'est pas affecté par la faille CVE-2023-2727. Toutes les versions d'Anthos sur VMware sont potentiellement vulnérables à la faille CVE-2023-2728. Que dois-je faire ?Mise à jour du 11/08/2023 : le code des versions suivantes de GKE sur VMware a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware :
Quelles failles sont corrigées ?Avec la faille CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions. Dans le cadre de la faille CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets installable appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. Cette règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que les secrets spécifiés dans le champ "secrets" du compte de service. Les clusters sont affectés par cette faille si :
|
Moyenne |
GKE sur AWS
Mise à jour : 11/08/2023
Description | Gravité |
---|---|
Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes. Les utilisateurs peuvent lancer des conteneurs qui contournent les restrictions de règles lorsqu'ils utilisent des conteneurs éphémères et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728). Que dois-je faire ?Mise à jour du 11/08/2023 : le code de la version suivante de GKE sur AWS a été mis à jour pour corriger cette faille. Mettez à niveau vos nœuds vers la version suivante de GKE sur AWS :
Quelles failles sont corrigées ?Avec la faille CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions. Dans le cadre de la faille CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets installable appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. Cette règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que les secrets spécifiés dans le champ "secrets" du compte de service. Les clusters sont affectés par cette faille si :
|
Moyenne |
GKE sur Azure
Mise à jour : 11/08/2023
Description | Gravité |
---|---|
Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes. Les utilisateurs peuvent lancer des conteneurs qui contournent les restrictions de règles lorsqu'ils utilisent des conteneurs éphémères et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728). Que dois-je faire ?Mise à jour du 11/08/2023: le code de la version suivante de GKE sur Azure a été mis à jour pour corriger cette faille. Mettez à niveau vos nœuds vers la version suivante de GKE sur Azure :
Quelles failles sont corrigées ?Avec la faille CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions. Dans le cadre de la faille CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets installable appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. Cette règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que les secrets spécifiés dans le champ "secrets" du compte de service. Les clusters sont affectés par cette faille si :
|
Moyenne |
GKE sur solution Bare Metal
Mise à jour : 11/08/2023
Description | Gravité |
---|---|
Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes. Les utilisateurs peuvent lancer des conteneurs qui contournent les restrictions de règles lorsqu'ils utilisent des conteneurs éphémères et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728). Que dois-je faire ?Mise à jour du 11-08-2023 : les versions suivantes de Google Distributed Cloud Virtual pour Bare Metal ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos nœuds vers l'une des versions suivantes de Google Distributed Cloud Virtual pour Bare Metal :
Quelles failles sont corrigées ?Avec la faille CVE-2023-2727, les utilisateurs peuvent lancer des conteneurs à l'aide d'images limitées par ImagePolicyWebhook lorsqu'ils utilisent des conteneurs éphémères. Les clusters Kubernetes ne sont affectés que si le plug-in d'admission ImagePolicyWebhook est utilisé avec des conteneurs éphémères. Cette faille CVE peut également être atténuée à l'aide de webhooks de validation, tels que Gatekeeper et Kyverno, pour appliquer les mêmes restrictions. Dans le cadre de la faille CVE-2023-2728, les utilisateurs peuvent lancer des conteneurs qui contournent la règle de secrets installable appliquée par le plug-in d'admission ServiceAccount lorsqu'ils utilisent des conteneurs éphémères. Cette règle garantit que les pods exécutés avec un compte de service ne peuvent référencer que les secrets spécifiés dans le champ "secrets" du compte de service. Les clusters sont affectés par cette faille si :
|
Moyenne |
GCP-2023-009
Date de publication : 06/06/2023
Référence : CVE-2023-2878
GKE
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote secrets-store-csi, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs cloud externes pour accéder aux secrets stockés dans des solutions de cloud vault. GKE n'est pas affecté par cette faille CVE. Que dois-je faire ?Bien que GKE ne soit pas concerné, si vous avez installé le composant secrets-store-csi-driver, vous devez mettre à jour votre installation avec une version corrigée. Quelles failles ce correctif permet-il de résoudre ?La faille de sécurité CVE-2023-2878 a été découverte dans le composant secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs cloud externes pour accéder aux secrets stockés dans des solutions de cloud vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est défini pour s'exécuter au niveau de journalisation 2 ou supérieur à l'aide de l'indicateur -v. |
Aucune |
GKE sur VMware
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote secrets-store-csi, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs cloud externes pour accéder aux secrets stockés dans des solutions de cloud vault. GKE sur VMware n'est pas affecté par cette faille CVE. Que dois-je faire ?Bien que GKE sur VMware ne soit pas concerné, si vous avez installé le composant secrets-store-csi-driver, vous devez mettre à jour votre installation avec une version avec correctif. Quelles failles ce correctif permet-il de résoudre ?La faille de sécurité CVE-2023-2878 a été découverte dans le composant secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs cloud externes pour accéder aux secrets stockés dans des solutions de cloud vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est défini pour s'exécuter au niveau de journalisation 2 ou supérieur à l'aide de l'indicateur -v. |
Aucune |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote secrets-store-csi, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs cloud externes pour accéder aux secrets stockés dans des solutions de cloud vault. GKE sur AWS n'est pas affecté par cette faille CVE. Que dois-je faire ?Bien que GKE sur AWS ne soit pas concerné, si vous avez installé le composant secrets-store-csi-driver, vous devez mettre à jour votre installation avec une version corrigée. Quelles failles ce correctif permet-il de résoudre ?La faille de sécurité CVE-2023-2878 a été découverte dans le composant secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs cloud externes pour accéder aux secrets stockés dans des solutions de cloud vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est défini pour s'exécuter au niveau de journalisation 2 ou supérieur à l'aide de l'indicateur -v. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote secrets-store-csi, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs cloud externes pour accéder aux secrets stockés dans des solutions de cloud vault. GKE sur Azure n'est pas affecté par cette faille CVE. Que dois-je faire ?Bien que GKE sur Azure ne soit pas concerné, si vous avez installé le composant secrets-store-csi-driver, vous devez mettre à jour votre installation avec une version corrigée. Quelles failles ce correctif permet-il de résoudre ?La faille de sécurité CVE-2023-2878 a été découverte dans le composant secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs cloud externes pour accéder aux secrets stockés dans des solutions de cloud vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est défini pour s'exécuter au niveau de journalisation 2 ou supérieur à l'aide de l'indicateur -v. |
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote secrets-store-csi, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs cloud externes pour accéder aux secrets stockés dans des solutions de cloud vault. GKE on Bare Metal n'est pas affecté par cette faille CVE. Que dois-je faire ?Bien que GKE on Bare Metal ne soit pas concerné, si vous avez installé le composant secrets-store-csi-driver, vous devez mettre à jour votre installation avec une version corrigée. Quelles failles ce correctif permet-il de résoudre ?La faille de sécurité CVE-2023-2878 a été découverte dans le composant secrets-store-csi-driver, où un acteur ayant accès aux journaux du pilote pouvait observer les jetons de compte de service. Ces jetons peuvent ensuite être échangés avec des fournisseurs cloud externes pour accéder aux secrets stockés dans des solutions de cloud vault. Les jetons ne sont consignés que lorsque TokenRequests est configuré dans l'objet CSIDriver et que le pilote est défini pour s'exécuter au niveau de journalisation 2 ou supérieur à l'aide de l'indicateur -v. |
Aucune |
GCP-2023-008
Date de publication : 05/06/2023
Référence : CVE-2023-1872
GKE
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges à la racine sur le nœud. Les clusters GKE Standard et Autopilot sont affectés. Les clusters utilisant GKE Sandbox ne sont pas affectés. Que dois-je faire ?Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?CVE-2023-1872 est une faille "utilisation après libération" dans le sous-système io_uring du noyau Linux qui peut être exploitée pour permettre l'élévation des privilèges locaux. La fonction |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges à la racine sur le nœud. Que dois-je faire ?Quelles failles ce correctif permet-il de résoudre ?CVE-2023-1872 est une faille "utilisation après libération" dans le sous-système io_uring du noyau Linux qui peut être exploitée pour permettre l'élévation des privilèges locaux. La fonction |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges à la racine sur le nœud. Que dois-je faire ?Les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger ces failles : Quelles failles ce correctif permet-il de résoudre ?CVE-2023-1872 est une faille "utilisation après libération" dans le sous-système io_uring du noyau Linux qui peut être exploitée pour permettre l'élévation des privilèges locaux. La fonction |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges à la racine sur le nœud. Que dois-je faire ?Les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger ces failles : Quelles failles ce correctif permet-il de résoudre ?CVE-2023-1872 est une faille "utilisation après libération" dans le sous-système io_uring du noyau Linux qui peut être exploitée pour permettre l'élévation des privilèges locaux. La fonction |
Élevée |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges à la racine sur le nœud. GKE on Bare Metal n'est pas affecté par cette faille CVE. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GCP-2023-005
Date de publication : 18/05/2023
Dernière mise à jour : 06/06/2023
Référence : CVE-2023-1281, CVE-2023-1829
Mise à jour du 06/06/2023 : de nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent les failles CVE-2023-1281 et CVE-2023-1829.
GKE
Mise à jour : 06/06/2023
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2023-1281 et CVE-2023-1829) ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges vers la racine sur le nœud. Les clusters GKE Standard sont affectés. Les clusters GKE Autopilot et les clusters utilisant GKE Sandbox ne sont pas affectés. Que dois-je faire ?Mise à jour du 06/06/2023 : les versions de correctif Ubuntu sont disponibles. Les versions GKE suivantes ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent les failles CVE-2023-1281 et CVE-2023-1829 :
Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?Les failles CVE-2023-1281 et CVE-2023-1829 sont des failles de type "utilisation après libération" dans le filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour permettre l'élévation des privilèges locaux. Avec CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut entraîner une double libération d'une structure de données. Dans la faille CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant la traversée des paquets, ce qui entraîne une utilisation après libération lorsque |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2023-1281 et CVE-2023-1829) ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges vers la racine sur le nœud. Que dois-je faire ?Quelles failles ce correctif permet-il de résoudre ?Les failles CVE-2023-1281 et CVE-2023-1829 sont des failles de type "utilisation après libération" dans le filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour permettre l'élévation des privilèges locaux. Avec CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut entraîner une double libération d'une structure de données. Dans la faille CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant la traversée des paquets, ce qui entraîne une utilisation après libération lorsque |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2023-1281 et CVE-2023-1829) ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges vers la racine sur le nœud. Que dois-je faire ?Quelles failles ce correctif permet-il de résoudre ?Les failles CVE-2023-1281 et CVE-2023-1829 sont des failles de type "utilisation après libération" dans le filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour permettre l'élévation des privilèges locaux. Avec CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut entraîner une double libération d'une structure de données. Dans la faille CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant la traversée des paquets, ce qui entraîne une utilisation après libération lorsque |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2023-1281 et CVE-2023-1829) ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges vers la racine sur le nœud. Que dois-je faire ?Quelles failles ce correctif permet-il de résoudre ?Les failles CVE-2023-1281 et CVE-2023-1829 sont des failles de type "utilisation après libération" dans le filtre d'index de contrôle du trafic du noyau Linux (tcindex) qui peuvent être exploitées pour permettre l'élévation des privilèges locaux. Avec CVE-2023-1829, la fonction tcindex_delete ne désactive pas correctement les filtres dans certains cas, ce qui peut entraîner une double libération d'une structure de données. Dans la faille CVE-2023-1281, la zone de hachage imparfaite peut être mise à jour pendant la traversée des paquets, ce qui entraîne une utilisation après libération lorsque |
Élevée |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2023-1281 et CVE-2023-1829) ont été détectées dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges vers la racine sur le nœud. GKE on Bare Metal n'est pas affecté par cette faille CVE. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GCP-2023-003
Date de publication : 11/04/2023
Dernière mise à jour : 21/12/2023
Référence : CVE-2023-0240, CVE-2023-23586
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
GKE
Mise à jour : 21/12/2023
Description | Gravité |
---|---|
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été détectées dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses droits. Les clusters GKE, y compris les clusters Autopilot, avec COS utilisant un noyau Linux version 5.10 jusqu'à 5.10.162 sont concernés. Les clusters GKE utilisant des images Ubuntu ou GKE Sandbox ne sont pas affectés. Que dois-je faire ?Les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?Faille 1 (CVE-2023-0240) : une condition de concurrence dans Faille 2 (CVE-2023-23586) : une utilisation après libération (UAF) dans |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été détectées dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses droits. Les clusters GKE sur VMware avec COS utilisant un noyau Linux version 5.10 jusqu'à 5.10.162 sont concernés. Les clusters GKE Enterprise utilisant des images Ubuntu ne sont pas affectés. Que dois-je faire ?Les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger ces failles :
Quelles failles ce correctif permet-il de résoudre ?Faille 1 (CVE-2023-0240) : une condition de concurrence dans Faille 2 (CVE-2023-23586) : une utilisation après libération (UAF) dans |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été détectées dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses droits. GKE sur AWS n'est pas affecté par ces CVE. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été détectées dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses droits. GKE sur Azure n'est pas affecté par ces CVE. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été détectées dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses droits. GKE on Bare Metal n'est pas affecté par ces CVE. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GCP-2023-001
Date de publication : 01/03/2023
Dernière mise à jour : 21/12/2023
Référence : CVE-2022-4696
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
GKE
Description | Gravité |
---|---|
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Une nouvelle faille (CVE-2022-4696) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont concernés. Les clusters GKE utilisant GKE Sandbox ne sont pas affectés. Que dois-je faire ?Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-4696 a révélé une faille de type "utilisation après libération" dans io_uring et ioring_op_splice dans le noyau Linux. Cette faille permet à un utilisateur local de créer une élévation des privilèges locaux. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-4696) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. GKE sur VMware exécutant les versions 1.12 et 1.13 est concerné. GKE sur VMware exécutant la version 1.14 ou ultérieure n'est pas concerné. Que dois-je faire ?Les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware :
Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-4696 a révélé une faille de type "utilisation après libération" dans io_uring et ioring_op_splice dans le noyau Linux. Cette faille permet à un utilisateur local de créer une élévation des privilèges locaux. |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-4696) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. Cette faille n'a pas d'incidence sur GKE sur AWS. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-4696) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. GKE sur Azure n'est pas affecté par cette faille. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-4696) a été découverte dans le noyau Linux, qui peut entraîner une élévation des privilèges sur le nœud. GKE on Bare Metal n'est pas affecté par cette faille. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GCP-2022-026
Date de publication : 11/01/2023
Référence : CVE-2022-3786, CVE-2022-3602
GKE
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été détectées dans OpenSSL v3.0.6. Elles peuvent potentiellement entraîner un plantage. Bien que cette faille ait été classée comme critique dans la base de données NVD, les points de terminaison GKE utilisent boringSSL ou une ancienne version d'OpenSSL qui n'est pas affectée. La gravité a donc été réduite à "Moyen" pour GKE. Que dois-je faire ?Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2022-3786 et CVE-2022-3602, un débordement de tampon peut être déclenché lors de la validation des certificats X.509, ce qui peut entraîner un plantage entraînant un déni de service. Pour être exploitée, cette faille nécessite qu'une autorité de certification ait signé un certificat malveillant ou qu'une application continue la validation du certificat malgré l'échec de la création d'un chemin d'accès à un émetteur approuvé. |
Moyenne |
GKE sur VMware
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été détectées dans OpenSSL v3.0.6. Elles peuvent potentiellement entraîner un plantage. Que dois-je faire ?GKE sur VMware n'est pas affecté par cette faille CVE, car il n'utilise pas de version d'OpenSSL concernée. Quelles failles ce correctif permet-il de résoudre ?Aucune action n'est requise. |
Aucune |
GKE sur AWS
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été détectées dans OpenSSL v3.0.6. Elles peuvent potentiellement entraîner un plantage. Que dois-je faire ?GKE sur AWS n'est pas affecté par cette faille CVE, car il n'utilise pas de version d'OpenSSL concernée. Quelles failles ce correctif permet-il de résoudre ?Aucune action n'est requise. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été détectées dans OpenSSL v3.0.6. Elles peuvent potentiellement entraîner un plantage. Que dois-je faire ?GKE sur Azure n'est pas affecté par cette faille CVE, car il n'utilise pas de version d'OpenSSL concernée. Quelles failles ce correctif permet-il de résoudre ?Aucune action n'est requise. |
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été détectées dans OpenSSL v3.0.6. Elles peuvent potentiellement entraîner un plantage. Que dois-je faire ?GKE on Bare Metal n'est pas affecté par cette faille CVE, car il n'utilise pas de version d'OpenSSL concernée. Quelles failles ce correctif permet-il de résoudre ?Aucune action n'est requise. |
Aucune |
GCP-2022-025
Date de publication : 21/12/2022
Dernière mise à jour : 19/01/2023, 21/12/2023
Référence : CVE-2022-2602
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
Mise à jour du 19/01/2023 : la version 1.21.14-gke.14100 de GKE est disponible.
GKE
Mise à jour : 19/01/2023
Description | Gravité |
---|---|
Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Une nouvelle faille (CVE-2022-2602) a été détectée dans le sous-système io_uring du noyau Linux. Elle peut permettre à un pirate informatique d'exécuter du code arbitraire. Les clusters GKE, y compris les clusters Autopilot, sont concernés. Les clusters GKE utilisant GKE Sandbox ne sont pas affectés. Que dois-je faire ?Mise à jour du 19/01/2023 : la version 1.21.14-gke.14100 est disponible. Mettez à niveau vos pools de nœuds vers cette version ou une version ultérieure. Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille dans une prochaine version. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?Avec la faille CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et la récupération de mémoire des sockets Unix peut entraîner une faille de type "utilisation après libération". Un pirate informatique local peut s'en servir pour déclencher un déni de service ou exécuter du code arbitraire. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-2602) a été détectée dans le sous-système io_uring du noyau Linux, qui peut permettre à un pirate informatique d'exécuter du code arbitraire. Les versions 1.11, 1.12 et 1.13 de GKE sur VMware sont concernées. Que dois-je faire ?Mettez à niveau votre cluster vers une version corrigée. Le code des versions suivantes de GKE sur VMware corrige cette faille :
Quelles failles ce correctif permet-il de résoudre ?Avec la faille CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et la récupération de mémoire des sockets Unix peut entraîner une faille de type "utilisation après libération". Un pirate informatique local peut s'en servir pour déclencher un déni de service ou exécuter du code arbitraire. |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-2602) a été détectée dans le sous-système io_uring du noyau Linux, qui peut permettre à un pirate informatique d'exécuter du code arbitraire. Que dois-je faire ?Le code des versions suivantes de GKE sur AWS, actuelles et précédentes, a été mis à jour pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS :
Quelles failles ce correctif permet-il de résoudre ?Avec la faille CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et la récupération de mémoire des sockets Unix peut entraîner une faille de type "utilisation après libération". Un pirate informatique local peut s'en servir pour déclencher un déni de service ou exécuter du code arbitraire. |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-2602) a été détectée dans le sous-système io_uring du noyau Linux, qui peut permettre à un pirate informatique d'exécuter du code arbitraire. Que dois-je faire ?Les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions GKE sur Azure suivantes :
Quelles failles ce correctif permet-il de résoudre ?Avec la faille CVE-2022-2602, une condition de concurrence entre le traitement des requêtes io_uring et la récupération de mémoire des sockets Unix peut entraîner une faille de type "utilisation après libération". Un pirate informatique local peut s'en servir pour déclencher un déni de service ou exécuter du code arbitraire. |
Élevée |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-2602) a été détectée dans le sous-système io_uring du noyau Linux, qui peut permettre à un pirate informatique d'exécuter du code arbitraire. GKE on Bare Metal n'est pas affecté par cette faille CVE, car il n'intègre pas de système d'exploitation dans sa distribution. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GCP-2022-024
Date de publication : 09/11/2022
Dernière mise à jour : 19/01/2023
Référence : CVE-2022-2585, CVE-2022-2588
Mise à jour du 19/01/2023 : la version 1.21.14-gke.14100 de GKE est disponible.
Mise à jour du 16/12/2022 : ajout de versions de correctif révisées pour GKE et GKE sur VMware.
GKE
Mise à jour : 19/01/2023
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été détectées dans le noyau Linux. Elles peuvent entraîner une sortie complète du conteneur vers la racine sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont concernés. Les clusters GKE utilisant GKE Sandbox ne sont pas affectés. Que dois-je faire ?Mise à jour du 19/01/2023 : la version 1.21.14-gke.14100 est disponible. Mettez à niveau vos pools de nœuds vers cette version ou une version ultérieure. Mise à jour du 16/12/2022 : une version précédente du bulletin a été révisée en raison d'une régression de la version. Veuillez mettre à niveau manuellement vos pools de nœuds vers l'une des versions GKE suivantes :
Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :
Des mises à jour pour GKE v1.22, 1.23 et 1.25 seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour dès qu'ils seront disponibles. Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?
|
Élevée |
GKE sur VMware
Mise à jour : 16/12/2022
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été détectées dans le noyau Linux. Elles peuvent entraîner une sortie complète du conteneur vers la racine sur le nœud. Les versions 1.13, 1.12 et 1.11 de GKE sur VMware sont concernées. Que dois-je faire ?Mise à jour du 16/12/2022 : le code des versions suivantes de GKE sur VMware a été mis à jour pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware :
Quelles failles ce correctif permet-il de résoudre ?
|
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été détectées dans le noyau Linux. Elles peuvent entraîner une sortie complète du conteneur vers la racine sur le nœud. Les versions suivantes de Kubernetes sur AWS peuvent être concernées :
Kubernetes V1.24 n'est pas affecté. Que dois-je faire ?Nous vous recommandons de mettre à niveau vos clusters vers l'une des versions AWS Kubernetes suivantes :
Quelles failles sont corrigées ?Avec la faille CVE-2022-2585, le nettoyage incorrect des minuteurs dans le minuteur de processeur POSIX permet un exploit de type "utilisation après libération" en fonction de la façon dont les minuteurs sont créés et supprimés. La faille CVE-2022-2588 a révélé une faille de type "utilisation après libération" dans route4_change du noyau Linux. Cette faille permet à un utilisateur local de planter le système et éventuellement d'entraîner une élévation des privilèges locaux. |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été détectées dans le noyau Linux. Elles peuvent entraîner une sortie complète du conteneur vers la racine sur le nœud. Les versions suivantes de Kubernetes sur Azure peuvent être concernées :
Kubernetes V1.24 n'est pas affecté. Que dois-je faire ?Nous vous recommandons de mettre à niveau vos clusters vers l'une des versions Azure Kubernetes suivantes :
Quelles failles sont corrigées ?Avec la faille CVE-2022-2585, le nettoyage incorrect des minuteurs dans le minuteur de processeur POSIX permet un exploit de type "utilisation après libération" en fonction de la façon dont les minuteurs sont créés et supprimés. La faille CVE-2022-2588 a révélé une faille de type "utilisation après libération" dans route4_change du noyau Linux. Cette faille permet à un utilisateur local de planter le système et éventuellement d'entraîner une élévation des privilèges locaux. |
Élevée |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été détectées dans le noyau Linux. Elles peuvent entraîner une sortie complète du conteneur vers la racine sur le nœud. GKE on Bare Metal n'est pas affecté par cette faille CVE, car il n'intègre pas de système d'exploitation dans sa distribution. Que dois-je faire ?Aucune action n'est requise. |
Aucune |
GCP-2022-023
Date de publication : 04/11/2022
Référence : CVE-2022-39278
GKE
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisée dans Cloud Service Mesh. Elle permet à un pirate malveillant de faire planter le plan de contrôle. Que dois-je faire ?Google Kubernetes Engine (GKE) n'est pas fourni avec Istio et n'est pas affecté par cette faille. Toutefois, si vous avez installé Cloud Service Mesh ou Istio séparément sur votre cluster GKE, consultez le bulletin de sécurité GCP-2022-020 de Cloud Service Mesh sur cette faille CVE pour en savoir plus. |
Aucune |
GKE sur VMware
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisée dans Cloud Service Mesh dans GKE sur VMware. Elle permet à un pirate malveillant de faire planter le plan de contrôle Istio. Que dois-je faire ?Les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes de GKE sur VMware :
Quelles failles ce correctif permet-il de résoudre ?
Avec la faille CVE-2022-39278, le plan de contrôle Istio, |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisée dans Cloud Service Mesh. Elle permet à un pirate malveillant de faire planter le plan de contrôle. Que dois-je faire ?GKE sur AWS n'est pas affecté par cette faille. Aucune action n'est requise. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisée dans Cloud Service Mesh. Elle permet à un pirate malveillant de faire planter le plan de contrôle. Que dois-je faire ?GKE sur Azure n'est pas affecté par cette faille et aucune action n'est requise. |
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio, qui est utilisée dans Cloud Service Mesh dans GKE sur Bare Metal. Elle permet à un pirate malveillant de faire planter le plan de contrôle Istio. Que dois-je faire ?Les versions suivantes des clusters GKE on Bare Metal ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters vers l'une des versions suivantes de GKE on Bare Metal :
Quelles failles ce correctif permet-il de résoudre ?
Avec la faille CVE-2022-39278, le plan de contrôle Istio, |
Élevée |
GCP-2022-022-updated
Date de publication : 08/12/2022
Référence : CVE-2022-20409
GKE
Mise à jour : 14/12/2022
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-20409) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Les clusters Google Kubernetes Engine (GKE) v1.22, v1.23 et v1.24, y compris les clusters Autopilot, utilisant les versions 93 et 97 de Container-Optimized OS sont concernés. Les autres versions de GKE compatibles ne sont pas concernées. Les clusters GKE utilisant GKE Sandbox ne sont pas affectés. Que dois-je faire ?Mise à jour du 14/12/2022 : une version précédente du bulletin a été révisée en raison d'une régression de la version. Veuillez mettre à niveau manuellement vos pools de nœuds vers l'une des versions GKE suivantes :
Les versions suivantes de GKE utilisant les versions 93 et 97 de Container-Optimized OS ont été mises à jour avec du code pour corriger cette faille dans une prochaine version. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2022-20409, le noyau Linux présente une faille dans io_identity_cow du sous-système io_uring. Il existe un risque de corruption de la mémoire en raison d'une faille de type "utilisation après libération" (UAF, Use-After-Free). Un pirate informatique local peut utiliser cette corruption de mémoire pour un déni de service (plantage du système) ou éventuellement pour exécuter du code arbitraire. |
Élevée |
GKE sur VMware
Mise à jour : 14/12/2022
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-20409) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Que dois-je faire ?Mise à jour du 14/12/2022 : le code des versions suivantes de GKE sur VMware pour Ubuntu a été mis à jour pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur VMware :
Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2022-20409, le noyau Linux présente une faille dans io_identity_cow du sous-système io_uring. Il existe un risque de corruption de la mémoire en raison d'une faille de type "utilisation après libération" (UAF, Use-After-Free). Un pirate informatique local peut utiliser cette corruption de mémoire pour un déni de service (plantage du système) ou éventuellement pour exécuter du code arbitraire. |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-20409) a été détectée dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'obtenir des droits d'exécution système. Que dois-je faire ?Aucune action n'est requise. GKE sur AWS n'utilise pas les versions concernées du noyau Linux. Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2022-20409, le noyau Linux présente une faille dans io_identity_cow du sous-système io_uring. Il existe un risque de corruption de la mémoire en raison d'une faille de type "utilisation après libération" (UAF, Use-After-Free). Un pirate informatique local peut utiliser cette corruption de mémoire pour un déni de service (plantage du système) ou éventuellement pour exécuter du code arbitraire. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-20409) a été détectée dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'obtenir des droits d'exécution système. Que dois-je faire ?Aucune action n'est requise. GKE sur Azure n'utilise pas les versions concernées du noyau Linux. Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2022-20409, le noyau Linux présente une faille dans io_identity_cow du sous-système io_uring. Il existe un risque de corruption de la mémoire en raison d'une faille de type "utilisation après libération" (UAF, Use-After-Free). Un pirate informatique local peut utiliser cette corruption de mémoire pour un déni de service (plantage du système) ou éventuellement pour exécuter du code arbitraire. |
Aucune |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-20409) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Que dois-je faire ?
|
Aucune |
GCP-2022-021
Date de publication : 27/10/2022
Dernière mise à jour : 19/01/2023, 21/12/2023
Référence : CVE-2022-3176
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
Mise à jour du 19/01/2023 : la version 1.21.14-gke.14100 de GKE est disponible.
Mise à jour du 15/12/2022 : la version 1.21.14-gke.9400 de Google Kubernetes Engine est en attente de déploiement et peut être remplacée par une version supérieure.
Mise à jour du 21/11/2022 : ajout de versions de correctif pour GKE sur VMware, GKE sur AWS et GKE sur Azure.
GKE
Mise à jour : 19/01/2023, 21/12/2023
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-3176) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Mise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters Google Kubernetes Engine (GKE) v1.21, y compris les clusters Autopilot, utilisant la version 89 de Container-Optimized OS sont concernés. Les versions ultérieures de GKE ne sont pas concernées. Tous les clusters Linux avec Ubuntu sont affectés. Les clusters GKE utilisant GKE Sandbox ne sont pas affectés. Que dois-je faire ?Mise à jour du 19/01/2023 : la version 1.21.14-gke.14100 est disponible. Mettez à niveau vos pools de nœuds vers cette version ou une version ultérieure. Mise à jour du 15/12/2022 : la version 1.21.14-gke.9400 est en attente de déploiement et peut être remplacée par un numéro de version supérieur. Nous mettrons à jour ce document lorsque cette nouvelle version sera disponible. Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille dans une prochaine version. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-3176 révèle une faille dans le sous-système io_uring du noyau Linux. L'absence de traitement POLLFREE peut entraîner des exploitations de type "utilisation après libération" (UAF, Use-After-Free) pouvant être utilisées pour l'élévation de privilèges. |
Élevée |
GKE sur VMware
Mise à jour : 21/11/2022
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-3176) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Que dois-je faire ?
Mise à jour du 21/11/2022 : le code des versions suivantes de GKE sur VMware pour Ubuntu a été mis à jour pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur VMware :
Des versions de GKE sur VMware contenant des correctifs Ubuntu seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur VMware seront disponibles en téléchargement. Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-3176 révèle une faille dans le sous-système io_uring du noyau Linux. L'absence de traitement POLLFREE peut entraîner des exploitations de type "utilisation après libération" (UAF, Use-After-Free) pouvant être utilisées pour l'élévation de privilèges. |
Élevée |
GKE sur AWS
Mise à jour : 21/11/2022
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-3176) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Que dois-je faire ?Mise à jour du 21/11/2022 : le code des versions suivantes de GKE sur AWS a été mis à jour pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS : Génération actuelle
Des versions de GKE sur AWS contenant des correctifs Ubuntu seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur AWS seront disponibles en téléchargement. Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-3176 révèle une faille dans le sous-système io_uring du noyau Linux. L'absence de traitement POLLFREE peut entraîner des exploitations de type "utilisation après libération" (UAF, Use-After-Free) pouvant être utilisées pour l'élévation de privilèges. |
Élevée |
GKE sur Azure
Mise à jour : 21/11/2022
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-3176) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Que dois-je faire ?Mise à jour du 21/11/2022 : le code des versions suivantes de GKE sur Azure a été mis à jour pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions GKE sur Azure suivantes :
Des versions de GKE sur Azure contenant des correctifs Ubuntu seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur Azure seront disponibles en téléchargement. Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-3176 révèle une faille dans le sous-système io_uring du noyau Linux. L'absence de traitement POLLFREE peut entraîner des exploitations de type "utilisation après libération" (UAF, Use-After-Free) pouvant être utilisées pour l'élévation de privilèges. |
Élevée |
GKE sur solution Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-3176) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Que dois-je faire ?Aucune action n'est requise. GKE on Bare Metal n'est pas affecté par cette faille CVE, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2022-018
Date de publication : 01/08/2022
Dernière mise à jour : 14/09/2022, 21/12/2023
Référence : CVE-2022-2327
Mise à jour du 21/12/2023 : clarification indiquant que les clusters GKE Autopilot dans la configuration par défaut ne sont pas concernés.
Mise à jour du 14/09/2022 : ajout de versions de correctif pour GKE sur VMware, GKE sur AWS et GKE sur Azure.
GKE
Mise à jour : 21/12/2023
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Détails techniquesMise à jour du 21/12/2023 : Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez Les clusters GKE, y compris les clusters Autopilot, avec Container-Optimized OS (COS) avec Linux Kernel version 5.10, sont concernés. Les clusters GKE utilisant des images Ubuntu ou GKE Sandbox ne sont pas affectés. Que dois-je faire ?Mettez à niveau vos clusters GKE vers une version incluant le correctif.
Les images de nœuds Linux pour COS ont été mises à jour avec les versions de GKE utilisant ces versions COS.
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de mettre à niveau vos nœuds vers la version corrigée avant que cette version ne devienne la version par défaut de la version disponible sélectionnée. Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine. |
Élevée |
GKE sur VMware
Mise à jour : 14/09/2022
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Les clusters avec une image Container-Optimized OS (COS) utilisant des clusters GKE sur VMware version 1.10, 1.11 et 1.12 sont concernés. Que dois-je faire ?Mise à jour du 14/09/2022 : les versions suivantes de GKE sur VMware contiennent du code qui corrige cette faille.
Des versions de GKE sur VMware contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur VMware seront disponibles en téléchargement. Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine. |
Élevée |
GKE sur AWS
Mise à jour : 14/09/2022
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Que dois-je faire ?Mise à jour du 14/09/2022 : le code des versions suivantes de GKE sur AWS, actuelles et précédentes, a été mis à jour pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS : Génération actuelle
Génération précédente
Des versions de GKE sur AWS contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur AWS seront disponibles en téléchargement. Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine. |
Élevée |
GKE sur Azure
Mise à jour : 14/09/2022
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Que dois-je faire ?Mise à jour du 14/09/2022 : le code des versions suivantes de GKE on Azure a été mis à jour pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions de GKE sur Azure suivantes :
Des versions de GKE sur Azure contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur Azure seront disponibles en téléchargement. Quelles failles ce correctif permet-il de résoudre ?Avec CVE-2022-2327, le noyau Linux de la version 5.10 présente une faille dans le sous-système "io_uring", où diverses requêtes ne disposent pas de type d'élément (options). L'utilisation de ces requêtes sans spécifier les types d'éléments appropriés peut entraîner l'élévation des privilèges à la racine. |
Élevée |
Google Distributed Cloud Virtual pour Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Que dois-je faire ?Aucune action n'est requise. Google Distributed Cloud Virtual pour Bare Metal n'est pas affecté par cette faille CVE, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2022-017
Date de publication: 29/06/2022
Dernière mise à jour: 22/11/2022
Référence: CVE-2022-1786
Mise à jour du 22/11/2022 : informations actualisées sur les charges de travail utilisant GKE Sandbox.
Mise à jour du 21/07/2022 : informations mises à jour indiquant que les images COS GKE sur VMware sont affectées.
GKE
Mise à jour : 22/11/2022
Description | Gravité |
---|---|
Mise à jour du 22-11-2022 : les charges de travail utilisant GKE Sandbox ne sont pas affectées par ces failles. Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Seuls les clusters qui exécutent Container-Optimized OS sont affectés. Les versions d'Ubuntu GKE utilisent la version 5.4 ou 5.15 du noyau et ne sont pas affectées. Que dois-je faire ?Les versions des images de nœuds Linux pour Container-Optimized OS pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions futures de GKE ci-dessous :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de mettre à niveau vos nœuds vers la version corrigée avant que cette version ne devienne la version par défaut de la version disponible sélectionnée. Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-1786 a révélé une faille après l'utilisation gratuite dans le sous-système io_uring du noyau Linux. Si un utilisateur configure un anneau avec IORING_SETUP_IOPOLL avec plusieurs tâches terminées sur l'anneau, un utilisateur local peut planter ou augmenter ses droits sur le système. |
Élevée |
GKE sur VMware
Mise à jour : 14/07/2022
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Que dois-je faire ?Mise à jour du 21/07/2022 : le code des versions suivantes de GKE sur VMware a été mis à jour pour corriger cette faille. COS
UbuntuAucune action n'est requise. GKE sur VMware n'utilise pas les versions concernées du noyau Linux. |
Aucune |
GKE sur AWS
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Que dois-je faire ?Aucune action n'est requise. GKE sur AWS n'utilise pas les versions concernées du noyau Linux. |
Aucune |
GKE sur Azure
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Que dois-je faire ?Aucune action n'est requise. GKE sur Azure n'utilise pas les versions concernées du noyau Linux. |
Aucune |
Google Distributed Cloud Virtual pour Bare Metal
Description | Gravité |
---|---|
Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Que dois-je faire ?Aucune action n'est requise. Google Distributed Cloud Virtual pour Bare Metal n'est pas affecté par cette faille CVE, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2022-016
Date de publication : 23 juin 2022
Dernière mise à jour : 22 novembre 2022
Référence : CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
Mise à jour du 22 novembre 2022 : Ajout d'informations sur les charges de travail exécutées dans les clusters Autopilot.
Mise à jour du 29/07/2022 : versions mises à jour pour GKE sur VMware, GKE sur AWS et GKE sur Azure.
GKE
Mise à jour : 22/11/2022
Description | Gravité |
---|---|
Mise à jour du 22/11/2022 : les clusters Autopilot ne sont pas affectés par CVE-2022-29581, mais sont vulnérables à CVE-2022-29582 et CVE-2022-1116. Mise à jour du 29-07-2022 : les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles. Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Tous les clusters Linux (Container-Optimized OS et Ubuntu) sont affectés. Que dois-je faire ?Les versions des images de nœuds Linux pour Container-Optimized OS et Ubuntu pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de mettre à niveau vos nœuds vers la version corrigée avant que cette version ne devienne la version par défaut de la version disponible sélectionnée. Quelles failles ce correctif permet-il de résoudre ?Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring. Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine. |
Élevée |
GKE sur VMware
Dernière mise à jour : 29-07-2022
Description | Gravité |
---|---|
Mise à jour du 29-07-2022 : les versions suivantes de GKE sur VMware contiennent du code qui corrige ces failles.
Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Ces failles affectent GKE sur VMware v1.9 et versions ultérieures pour les images Container-Optimized OS et Ubuntu. Que dois-je faire ?Des versions de GKE sur VMware contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur VMware seront disponibles en téléchargement. Quelles failles ce correctif permet-il de résoudre ?Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring. Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine. |
Élevée |
GKE sur AWS
Dernière mise à jour : 29-07-2022
Description | Gravité |
---|---|
Mise à jour du 29-07-2022 : les versions précédentes et actuelles des clusters GKE sur AWS ci-dessous ont été mises à jour avec du code pour corriger ces failles. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS : Génération actuelle :
Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Ces failles affectent toutes les versions de GKE sur AWS. Que dois-je faire ?Des versions de GKE sur AWS contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur AWS seront disponibles en téléchargement. Quelles failles ce correctif permet-il de résoudre ?Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring. Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine. |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Mise à jour du 29-07-2022 : les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger ces failles. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur Azure :
Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Ces failles affectent toutes les versions de GKE sur Azure. Que dois-je faire ?Des versions de GKE sur Azure contenant des correctifs seront bientôt disponibles. Ce bulletin de sécurité sera mis à jour lorsque les versions de GKE sur Azure seront disponibles en téléchargement. Quelles failles ce correctif permet-il de résoudre ?Avec la faille CVE-2022-29582, le noyau Linux des versions antérieures à 5.17.3 permet une utilisation après la période gratuite en raison d'une condition de concurrence dans les délais avant expiration io_uring. Les failles CVE-2022-29581 et CVE-2022-1116 sont des failles qui permettent à un pirate informatique local de provoquer une corruption de mémoire dans io_uring ou net/sched dans le noyau Linux, et ainsi d'élever les privilèges au niveau racine. |
Élevée |
Google Distributed Cloud Virtual pour Bare Metal
Description | Gravité |
---|---|
Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de s'en échapper complètement pour arriver à la racine du nœud. Que dois-je faire ?Aucune action n'est requise. Google Distributed Cloud Virtual pour Bare Metal n'est pas affecté par cette faille, car il n'intègre pas de système d'exploitation dans sa distribution. |
Aucune |
GCP-2022-014
Date de publication : 26/04/2022
Mis à jour : 22/11/2022
Mise à jour du 22/11/2022 : Ajout d'informations sur les charges de travail exécutées dans les clusters Autopilot.
Mise à jour du 12/05/2022 : mises à jour des versions de correctif pour GKE sur AWS et GKE sur Azure.
Référence : CVE-2022-1055, CVE-2022-27666
GKE
Mise à jour : 22/11/2022
Description | Gravité |
---|---|
Mise à jour du 22-11-2022 : les clusters et les charges de travail GKE Autopilot exécutés dans GKE Sandbox ne sont pas affectés par ces failles. Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Détails techniquesDans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud. Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud. Que dois-je faire ?Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers l'une des versions suivantes.
Quelles failles ce correctif permet-il de résoudre ? |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Détails techniquesDans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud. Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud. Que dois-je faire ?Mettez à niveau votre cluster vers une version corrigée. Les versions de GKE sur VMware suivantes ou des versions ultérieures contiennent le correctif pour cette faille :
Quelles failles ce correctif permet-il de résoudre ? |
Élevée |
GKE sur AWS
Dernière mise à jour : 12/05/2022
Description | Gravité |
---|---|
Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Détails techniquesDans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud. Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud. Que dois-je faire ?Mise à jour du 12/05/2022 : le code des versions suivantes et actuelles des clusters GKE sur AWS a été mis à jour pour corriger ces failles. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS : Génération actuelle
Mettez à niveau votre cluster vers une version corrigée. Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles. Quelles failles ce correctif permet-il de résoudre ? |
Élevée |
GKE sur Azure
Dernière mise à jour : 12/05/2022
Description | Gravité |
---|---|
Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Détails techniquesDans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud. Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud. Que dois-je faire ?Mise à jour du 12/05/2022 : le code des versions suivantes de GKE sur Azure a été mis à jour pour corriger ces failles. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions GKE sur Azure suivantes :
Mettez à niveau votre cluster vers une version corrigée. Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles. Quelles failles ce correctif permet-il de résoudre ? |
Élevée |
Google Distributed Cloud Virtual pour Bare Metal
Description | Gravité |
---|---|
Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Détails techniquesDans la faille CVE-2022-1055, un pirate informatique peut exploiter la fonctionnalité use-after-free dans tc_new_tfilter(), ce qui permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud. Dans la faille CVE-2022-27666, le débordement du tampon dans esp/esp6_output_head permet à un pirate informatique local dans le conteneur d'élever les privilèges à la racine du nœud. Que dois-je faire ?Aucune action n'est requise. Google Distributed Cloud Virtual pour Bare Metal n'est pas affecté par cette faille CVE, car il n'inclut pas Linux dans son package. Vous devez vous assurer que les images de nœud que vous utilisez sont mises à jour vers les versions contenant les correctifs pour CVE-2022-1055 et CVE-2022-27666. Quelles failles ce correctif permet-il de résoudre ? |
Élevée |
GCP-2022-013
Date de publication : 11-04-2022
Dernière mise à jour : 20-04-2022
Référence : CVE-2022-23648
Mise à jour du 22-04-2022 : mise à jour des versions de correctif pour Google Distributed Cloud Virtual pour Bare Metal et GKE sur VMware.
GKE
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Cette faille affecte tous les systèmes d'exploitation de nœud GKE (Container-Optimized OS et Ubuntu) qui utilisent containerd par défaut. Tous les nœuds GKE, Autopilot et GKE Sandbox sont affectés. Que dois-je faire ?Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. |
Moyenne |
GKE sur VMware
Mise à jour : 22-04-2022
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Cette faille affecte tous les services GKE sur VMware sur lesquels Stackdriver est activé. Celui-ci utilise containerd. Les versions 1.8, 1.9 et 1.10 de GKE sur VMware sont affectées. Que dois-je faire ?Mise à jour du 22-04-2022 : les versions suivantes de GKE sur VMware contiennent du code qui corrige cette faille.
Les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur VMware :
Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true". |
Moyenne |
GKE sur AWS
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Tous les nœuds GKE sur AWS sont affectés. Que dois-je faire ?Les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de GKE sur AWS. GKE sur AWS (génération actuelle)
GKE sur AWS (génération précédente)
Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true". |
Moyenne |
GKE sur Azure
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Toutes les versions GKE sur Azure sont affectées. Que dois-je faire ?Les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à jour vos nœuds comme suit :
Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true". |
Moyenne |
Google Distributed Cloud Virtual pour Bare Metal
Mise à jour : 22-04-2022
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Cette faille affecte l'ensemble des clusters Google Distributed Cloud Virtual pour Bare Metal qui utilisent containerd. Les versions 1.8, 1.9 et 1.10 de Google Distributed Cloud Virtual pour Bare Metal sont affectées. Que dois-je faire ?Mise à jour du 22-04-2022 : les versions suivantes de Google Distributed Cloud Virtual pour Bare Metal contiennent du code qui corrige cette faille.
Les versions suivantes de Google Distributed Cloud Virtual pour Bare Metal ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos nœuds vers l'une des versions suivantes de Google Distributed Cloud Virtual pour Bare Metal :
Cette faille CVE peut être atténuée en définissant IgnoreImageDefinedVolumes sur "true". |
Moyenne |
GCP-2022-012
Date de publication : 07/04/2022
Mise à jour : 22/11/2022
Référence : CVE-2022-0847
Mise à jour du 22/11/2022 : informations actualisées sur les charges de travail utilisant GKE Sandbox.
GKE
Mise à jour : 22/11/2022
Description | Gravité |
---|---|
Mise à jour du 22-11-2022 : les charges de travail utilisant GKE Sandbox ne sont pas affectées par ces failles. Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits du conteneur à la racine. Cette faille affecte toutes les versions de pools de nœuds GKE v1.22 et ultérieures qui utilisent des images Container-Optimized OS (Container-Optimized OS 93 et versions ultérieures). Les pools de nœuds GKE qui utilisent le système d'exploitation Ubuntu ne sont pas affectés. Que dois-je faire ?Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement vos pools de nœuds vers l'une des versions de GKE suivantes :
Une fonctionnalité récente des canaux de publication vous permet d'appliquer une version de correctif d'autres canaux de publication sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication. Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges. De nouvelles versions de Container-Optimized OS qui résolvent ce problème ont été intégrées aux versions mises à jour des pools de nœuds de GKE. |
Élevée |
GKE sur VMware
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine. Cette faille affecte GKE sur VMware v1.10 pour les images Container-Optimized OS. Actuellement, les clusters GKE sur VMware avec Ubuntu disposent de la version de noyau 5.4 et ne sont pas vulnérables à cette attaque. Que dois-je faire ?Les versions des images de nœud Linux pour les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers la version suivante de GKE sur VMware :
Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges. De nouvelles versions de Container-Optimized OS qui résolvent ce problème ont été intégrées aux versions mises à jour des clusters GKE sur VMware. |
Élevée |
GKE sur AWS
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine. Cette faille affecte les clusters gérés GKE sur AWS v1.21 et les clusters exécutés sur GKE sur AWS (génération précédente) v1.19, v1.20, v1.21 qui utilisent Ubuntu. Que dois-je faire ?Les versions des images de nœud Linux pour les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger cette faille. Pour les clusters gérés GKE sur AWS, nous vous recommandons de mettre à niveau vos clusters d'utilisateur et votre pool de nœuds vers l'une des versions suivantes :
Pour les k-lite GKE sur AWS, nous vous recommandons de mettre à niveau vos objets AWSManagementService, AWSCluster et AWSNodePool vers la version suivante :
Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges. |
Élevée |
GKE sur Azure
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine. Cette faille affecte les clusters gérés GKE on Azure v1.21 qui utilisent Ubuntu. Que dois-je faire ?Les versions des images de nœud Linux pour les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'utilisateur et votre pool de nœuds vers la version suivante :
Quelles failles ce correctif permet-il de résoudre ?La faille CVE-2022-0847 concerne l'option PIPE_BUF_FLAG_CAN_MERGE qui a été introduite dans la version 5.8 du noyau Linux. Dans cette faille, le membre "flags" de la nouvelle structure du tampon de pipeline ne disposait pas de l'initialisation appropriée dans le noyau Linux. Un pirate informatique disposant d'un accès non privilégié en local peut utiliser cette faille pour écrire sur des pages du cache de pages sauvegardé par des fichiers en lecture seule et élever ses privilèges. |
Élevée |
Google Distributed Cloud Virtual pour Bare Metal
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits à la racine. Que dois-je faire ?Aucune action n'est requise. Google Distributed Cloud Virtual pour Bare Metal n'est pas affecté par cette faille CVE, car il n'inclut pas Linux dans son package. Vous devez vous assurer que les images de nœuds que vous utilisez sont mises à jour vers les versions contenant le correctif de la faille CVE-2022-0847. |
Élevée |
GCP-2022-011
Date de publication : 22/03/2022
Dernière mise à jour : 11/08/2022
Mise à jour du 11/08/2022 : ajout d'informations sur les effets d'une mauvaise configuration SMT.
GKE
Description | Gravité |
---|---|
Mise à jour du 11/08/2022 : ajout d'informations sur la configuration multithread (Simultaneous Multi-Threading) . SMT était destiné à être désactivé, mais il a été activé sur les versions répertoriées. Si vous avez activé manuellement SMT pour un pool de nœuds en bac à sable, SMT restera activé manuellement, malgré ce problème. Il existe une erreur de configuration avec le mode SMT (Simultaneous Multi-Threading), également appelé Hyper-Threading, sur les images GKE Sandbox. L'erreur de configuration laisse des nœuds potentiellement exposés à des attaques de versions secondaires, telles que l'échantillonnage des données microarchitecturales (pour en savoir plus, consultez la documentation de GKE Sandbox). Nous vous déconseillons d'utiliser les versions concernées suivantes :
Si vous avez activé manuellement le mode SMT pour un pool de nœuds, ce problème n'affecte pas vos nœuds de bac à sable. Que dois-je faire ?Mettez à niveau vos nœuds vers l'une des versions suivantes :
Quelle faille ce correctif permet-il de résoudre ?Par défaut, le mode SMT est désactivé sur les nœuds GKE Sandbox, ce qui permet de limiter les attaques sur les versions secondaires. |
Moyenne |
GCP-2022-009
Date de publication : 01-03-2022
Dernière mise à jour : 15-03-2022
GKE
Description | Gravité |
---|---|
Mise à jour du 15-03-2022 : ajout de guides de renforcement pour GKE sur AWS et GKE sur Azure. Ajout d'une section sur la persistance avec les webhooks Certains chemins inattendus permettant d'accéder à la VM de nœud sur les clusters GKE Autopilot auraient pu être utilisés pour une élévation des privilèges dans le cluster. Ces problèmes ont été corrigés et aucune autre action n'est requise. Ces correctifs permettent de résoudre les problèmes signalés via notre Vulnerability Reward Program. Les utilisateurs de clusters GKE Standard et GKE peuvent éventuellement appliquer une règle de renforcement similaire, comme décrit ci-dessous. Détails techniquesAccès à l'hôte impliquant des exceptions aux règles pour certains outils tiersPour permettre à Google Cloud de proposer une gestion complète des nœuds et un contrat de niveau de service au niveau des pods, GKE Autopilot restreint certaines primitives Kubernetes à privilèges élevés afin d'empêcher les charges de travail d'obtenir un accès de bas niveau à la VM de nœud. Pour replacer ces éléments dans leur contexte : GKE Standard offre un accès complet au calcul sous-jacent, Autopilot présente un accès limité et Cloud Run ne présente aucun accès. Autopilot assouplit certaines de ces restrictions pour une liste prédéfinie d'outils tiers afin de permettre aux clients d'exécuter ces outils sur Autopilot sans modification. En utilisant des droits permettant de créer des pods avec des montages de chemin d'accès à l'hôte, le chercheur a pu exécuter dans un pod un conteneur privilégié qui ressemblait à l'un de ces outils tiers figurant dans la liste d'autorisation, afin d'obtenir l'accès à l'hôte. La capacité à planifier des pods de cette manière est normale sur GKE Standard, mais pas sur GKE Autopilot, car cela implique de contourner les restrictions d'accès à l'hôte servant à activer le contrat de niveau de service décrit précédemment. Ce problème a été résolu en restreignant la spécification de la liste d'autorisation des outils tiers pour le pod. Élévation des privilèges à partir de la racine sur un nœudEn plus de l'accès à l'hôte, les pods Nous avons abandonné et supprimé Afin de renforcer la protection du système contre ce type d'attaque à l'avenir, nous appliquerons dans une version ultérieure une contrainte Autopilot empêchant les mises à jour du compte de service de divers objets dans l'espace de noms
15-03-2022: persistance avec des webhooks en mutationLes webhooks ont été utilisés dans le rapport pour établir une base privilégiée dans le cluster après compromis. Il s'agit d'éléments standards de l'API Kubernetes créés par les administrateurs de cluster. Ils ont été rendus visibles aux administrateurs lorsque Autopilot a ajouté la compatibilité avec les webhooks définis par le client. Comptes de service avec privilèges dans l'espace de noms par défautLes outils d'application de la règle Autopilot autorisaient précédemment deux comptes de service dans l'espace de noms par défaut : Que dois-je faire ?Les règles de tous les clusters GKE Autopilot ont été mises à jour pour supprimer l'accès involontaire à l'hôte et aucune autre action n'est requise. Dans les semaines à venir, le renforcement de la stratégie sera appliqué à Autopilot pour fournir une protection secondaire. Vous n'avez rien à faire. Les clusters GKE Standard et les clusters GKE ne sont pas affectés, car les utilisateurs ont déjà accès à l'hôte. Afin de renforcer la sécurité du système, les clusters GKE Standard et les utilisateurs de clusters GKE peuvent appliquer une protection similaire via une règle Gatekeeper qui empêche l'automodification des charges de travail privilégiées. Pour obtenir des instructions, consultez les guides de renforcement suivants :
|
Faible |
GCP-2022-008
Date de publication : 23-02-2022
Mise à jour : 28-04-2022
Référence :
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657,
CVE-2022-21656
GKE
Description | Gravité |
---|---|
Le projet Envoy a récemment découvert un ensemble de failles, CVE-2022-23606, CVE-2022-21655 et CVE-2021-43826., CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657 et CVE-2022-21656 pouvant avoir un impact sur les clusters GKE utilisant Anthos Service Mesh, Istio-on-GKE ou des déploiements Istio personnalisés. Tous les problèmes répertoriés ci-dessous sont résolus dans la version 1.21.1 d'Envoy. Informations techniques Pour en savoir plus sur ces failles, cliquez ici. Que dois-je faire ?Les clusters GKE exécutant Anthos Service Mesh doivent être mis à jour vers une version compatible avec les failles ci-dessus.
Les clusters GKE exécutant Istio-on-GKE doivent être mis à jour vers une version compatible avec les failles ci-dessus.
Quelles failles ce correctif permet-il de résoudre ?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, et CVE-2022-21656 |
Élevée |
GKE sur VMware
Mise à jour : 28-04-2022
Description | Gravité |
---|---|
Envoy a récemment publié plusieurs correctifs de failles de sécurité. GKE sur VMware est affecté, car Envoy est utilisé avec metrics-server. Les CVE Envoy que nous corrigeons sont répertoriées ci-dessous. Nous mettrons à jour ce bulletin en y ajoutant des versions spécifiques lorsqu'elles seront disponibles :
Istio a récemment publié un correctif de faille de sécurité. Anthos sur VMware est affecté, car Istio est utilisé pour le trafic entrant. Les CVE Istio que nous corrigeons sont répertoriées ci-dessous. Nous mettrons à jour ce bulletin en y ajoutant des versions spécifiques lorsqu'elles seront disponibles : CVE-2022-23635 (score CVSS 7.5, élevé) : Istiod plante en cas de réception de requêtes avec un en-tête `authorization` spécialement conçu.Pour obtenir la description complète et les impacts des CVE ci-dessus, consultez les bulletins de sécurité. Ajout 28-04-2022 : Que dois-je faire ?Les versions suivantes de GKE sur VMware corrigent ces failles :
Quelles failles ce correctif permet-il de résoudre ?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, et CVE-2022-21656 |
Élevée |
Google Distributed Cloud Virtual pour Bare Metal
Description | Gravité |
---|---|
Envoy a récemment publié plusieurs correctifs de failles de sécurité. Anthos sur solution Bare Metal est affecté, car Envoy est utilisé avec metrics-server.
Les failles CVE d'Envoy dans les versions 1.10.3, 1.9.6 et 1.8.9 sont répertoriées ci-dessous :
Pour obtenir la description complète et les impacts des CVE ci-dessus, consultez les bulletins de sécurité. Quelles failles ce correctif permet-il de résoudre ?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, et CVE-2022-21656 |
Élevée |
GCP-2022-006
Date de publication : 14/02/2022
Mise à jour : 16-05-2022
Mise à jour du 16/05/2022 : Ajout de la version 1.19.16-gke.7800 de GKE ou d'une version ultérieure à la liste des versions contenant du code pour corriger cette faille.
Mise à jour du 12/05/2022 : versions de correctif mises à jour pour GKE, Google Distributed Cloud Virtual pour Bare Metal, GKE sur VMware et GKE sur AWS.
Correction d'un problème qui empêchait l'affichage du bulletin de sécurité pour les clusters GKE sur AWS lors de son ajout le 23/02/2022.
GKE
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction Que dois-je faire ?Mise à jour du 16/05/2022 : en plus des versions GKE mentionnées dans la mise à jour du 12/05/2022, la version GKE 1.19.16-gke.7800 ou ultérieure contient également du code qui résout ce problème. Mise à jour du 12/05/2022 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille :
Mise à jour du 15-02-2022 : instruction gVisor corrigée. Cette faille se trouve dans le champ
Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles. Quelle faille ce correctif permet-il de résoudre ?CVE-2022-0492 |
Faible |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction Que dois-je faire ?Mise à jour du 12/05/2022 : le code des versions suivantes de GKE sur VMware a été mis à jour pour corriger cette faille. COS
Cette faille se trouve dans le champ cgroup_release_agent_write du noyau Linux, dans la fonction kernel/cgroup/cgroup-v1.c et peut être utilisée pour l'interruption d'un conteneur. Les clusters GKE sur VMware ne sont pas affectés grâce à la protection du profil AppArmor par défaut sur Ubuntu et COS. Toutefois, certains clients peuvent toujours être vulnérables s'ils ont assoupli les restrictions de sécurité des pods via la modification du champ securityContext du pod ou du conteneur, par exemple, en désactivant ou modifiant le profil AppArmor, ce qui n'est pas recommandé. Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles. Quelle faille ce correctif permet-il de résoudre ?CVE-2022-0492 |
Faible |
GKE sur AWS
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction Que dois-je faire ?Mise à jour du 12/05/2022 : le code des versions suivantes des clusters GKE sur AWS de génération actuelle et précédente a été mis à jour pour corriger cette faille : Génération actuelle
Mise à jour du 23/02/2022 : ajout d'une note sur GKE sur AWS. Les clusters GKE sur AWS de génération précédente et actuelle ne sont pas affectés par la protection du profil AppArmor par défaut sur Ubuntu. Toutefois, certains clients peuvent toujours être vulnérables s'ils ont assoupli les restrictions de sécurité des pods via la modification du champ securityContext du pod ou du conteneur, par exemple, en désactivant ou modifiant le profil AppArmor, ce qui n'est pas recommandé. Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès que des informations sont disponibles. Quelle faille ce correctif permet-il de résoudre ?CVE-2022-0492 |
Faible |
GKE Enterprise sur
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction Que dois-je faire ?Mise à jour du 12/05/2022 : le code des versions suivantes de GKE sur Azure a été mis à jour pour corriger cette faille :
GKE sur Azure n'est pas affecté grâce à la protection du profil AppArmor par défaut sur Ubuntu. Toutefois, certains clients peuvent toujours être vulnérables s'ils ont assoupli les restrictions de sécurité des pods via la modification du champ securityContext du pod ou du conteneur, par exemple, en désactivant ou modifiant le profil AppArmor, ce qui n'est pas recommandé. Les correctifs seront disponibles dans une prochaine version. Ce bulletin sera mis à jour dès qu'ils seront disponibles. Quelle faille ce correctif permet-il de résoudre ?CVE-2022-0492 |
Faible |
GCP-2022-005
Date de publication : 11/02/2022Dernière mise à jour : 15/02/2022
Référence : CVE-2021-43527
GKE
Description | Gravité |
---|---|
Mise à jour du 15-02-2022 : certaines versions de GKE mentionnées dans le bulletin d'origine étaient combinées à d'autres correctifs et leurs numéros de version étaient incrémentés avant la publication. Les correctifs sont disponibles dans les versions GKE suivantes :
Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré. La version installée des images GKE COS et Ubuntu est vulnérable et doit être corrigée. La faille CVE-2021-43527 peut potentiellement avoir un impact important sur les applications utilisant le service NSS pour gérer les signatures encodées dans CMS, S/MIME, PKCS#7 ou PKCS#12. Les applications qui utilisent NSS pour la validation des certificats ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent aussi être affectées. L'impact dépend de la manière dont NSS est utilisé/configuré. GKE n'utilise libnss3 pour aucune API accessible sur Internet. L'impact est limité au code hôte exécuté en dehors des conteneurs et est donc faible, du fait de la conception minimale de Chrome OS. Le code GKE qui s'exécute à l'intérieur de conteneurs utilisant l'image de base golang distroless n'est pas affecté. Que dois-je faire ?Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger ces failles. Mettez à jour votre plan de contrôle et vos nœuds vers l'une des versions GKE suivantes :
Quelle faille ce correctif permet-il de résoudre ? |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, selon leur configuration NSS. La version installée des images GKE sur VMware COS et Ubuntu est vulnérable et doit être corrigée. La faille CVE-2021-43527 peut potentiellement avoir un impact important sur les applications utilisant le service NSS pour gérer les signatures encodées dans CMS, S/MIME, PKCS \#7 ou PKCS \#12. Les applications qui utilisent NSS pour la validation des certificats ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent aussi être affectées. L'impact dépend de la manière dont elles utilisent/configurent NSS. Anthos sur VMware n'utilise libnss3 pour aucune des API accessibles au public. Par conséquent, l'impact est limité et le niveau de gravité de cette faille CVE pour GKE sur VMware est classé comme "Moyen". Que dois-je faire ?.Les versions des images de nœuds Linux pour les versions suivantes d'Anthos ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau votre plan de contrôle et vos nœuds vers l'une des versions d'Anthos suivantes :
Utilisez-vous une version de GKE sur VMware antérieure à la version 1.18 ? Vous utilisez une version d'Anthos dont le contrat de niveau de service a expiré et vous devriez envisager de passer à l'une des versions compatibles. Quelle faille ce correctif permet-il de résoudre ? |
Moyenne |
GKE Enterprise sur
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré. La version installée des images Ubuntu Anthos clusters on Azure est vulnérable et doit être corrigée. La faille CVE-2021-43527 peut potentiellement avoir un impact important sur les applications utilisant le service NSS pour gérer les signatures encodées dans CMS, S/MIME, PKCS#7 ou PKCS#12. Les applications qui utilisent NSS pour la validation des certificats ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent aussi être affectées. L'impact dépend de la manière dont elles utilisent/configurent NSS. Anthos clusters on Azure n'utilise libnss3 pour aucune des API accessibles au public. Par conséquent, l'impact est limité et le niveau de gravité de cette faille CVE pour Anthos clusters on Azure est classé comme "Moyen". Que dois-je faire ?.Les versions des images de nœud Linux pour les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers l'une des versions d'Anthos on Azure suivantes :
Quelle faille ce correctif permet-il de résoudre ? |
Moyenne |
GCP-2022-004
Date de publication : 04/02/2022Référence : CVE-2021-4034
GKE
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle. Que dois-je faire ?GKE n'est pas affecté, car le module vulnérable, policykit-1, n'est pas installé sur les images COS ou Ubuntu utilisées dans GKE. Vous n'avez rien à faire. |
Aucune |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle. La configuration par défaut de GKE Enterprise confère déjà aux utilisateurs des privilèges "sudo" complets. Par conséquent, cet exploitation ne modifie pas la stratégie de sécurité existante de GKE Enterprise. Détails techniquesPour que ce bug soit exploitable, un pirate informatique doit disposer d'un shell non racine sur le système de fichiers de nœud et avoir installé la version vulnérable de pkexec. Même si GKE sur VMware inclut une version de policykit-1 dans ses versions d'image, la configuration par défaut de GKE Enterprise autorise les fonctionnalités sudo sans mot de passe à tout utilisateur ayant déjà accès au shell. Par conséquent, cette faille n'accorde pas plus de privilèges. Que dois-je faire ?Aucune action n'est requise. GKE sur VMware n'est pas affecté. |
Aucune |
Clusters GKE sur
Description | Gravité |
---|---|
GKE sur AWS n'est pas affecté. Le module vulnérable, Policykit-1, n'est pas installé sur les images Ubuntu utilisées par les versions actuelles et précédentes de GKE sur AWS. | Aucune |
GKE Enterprise sur
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle. La configuration par défaut de GKE Enterprise confère déjà aux utilisateurs des privilèges "sudo" complets. Par conséquent, cet exploitation ne modifie pas la stratégie de sécurité existante de GKE Enterprise. Détails techniquesPour que ce bug soit exploitable, un pirate informatique doit disposer d'un shell non racine sur le système de fichiers de nœud et avoir installé la version vulnérable de pkexec. Même si GKE sur Azure inclut une version de policykit-1 dans ses versions d'image, la configuration par défaut de GKE Enterprise autorise les fonctionnalités sudo sans mot de passe à tout utilisateur ayant déjà accès au shell. Par conséquent, cette faille n'accorde pas plus de privilèges. Que dois-je faire ?Aucune action n'est requise. GKE sur Azure n'est pas affecté. |
Aucune |
Clusters GKE sur
Description | Gravité |
---|---|
Google Distributed Cloud Virtual pour Bare Metal peut être affecté suivant les packages installés sur le système d'exploitation géré par le client. Analysez vos images d'OS et appliquez-leur les correctifs si nécessaire. | Aucune |
GCP-2022-002
Publié : 01/02/2022Mis à jour : 07/03/2022
Référence : CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Mise à jour du 04/02/2022 : ajout des sections concernant GKE sur AWS et GKE sur Azure. Ajout de mises à jour de déploiement pour GKE et GKE sur VMware.
GKE
Mis à jour : 07/03/2022
Description | Gravité |
---|---|
Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure. Les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles. Pour en savoir plus, consultez la page Notes de version COS. Détails techniquesDans la faille CVE-2021-4154, un pirate informatique peut exploiter le paramètre d'appel du système La faille CVE-2021-22600 est une attaque "double-free" dans paquet_set_ring qui peut entraîner l'échappement du conteneur vers le nœud hôte. Avec la faille CVE-2022-0185, un bug de dépassement du tas de mémoire dans Legacy_parse_param() peut produire une écriture hors limites qui entraînera une interruption du conteneur. Le chemin d'exploitation de cette faille qui repose sur l'appel système "unshare" est bloqué par défaut sur les clusters GKE Autopilot à l'aide du filtrage seccomp. Les utilisateurs qui ont activé manuellement le profil seccomp de l'environnement d'exécution du conteneur par défaut sur les clusters GKE standards sont également protégés. Que dois-je faire ?Mise à jour du 07/03/2022 : les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code afin de corriger toutes ces failles pour les images Ubuntu et COS. Mettez à niveau votre plan de contrôle et vos nœuds vers l'une des versions GKE suivantes :
Mise à jour du 25-02-2022 : si vous utilisez des images de nœuds Ubuntu, 1.22.6-gke.1000 ne traite pas la faille CVE-2021-22600. Nous mettrons à jour ce bulletin en y ajoutant les versions de correctif Ubuntu lorsqu'elles seront disponibles. Mise à jour du 23-02-2022 : les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code afin de corriger ces failles. Mettez à niveau vos clusters vers l'une des versions suivantes.
Mise à jour du 04-02-2022 : la date de début du déploiement des versions de correctif de GKE était le 2 février. .Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes.
es versions 1.22 et 1.23 sont également en cours. Nous mettrons à jour ce bulletin en y ajoutant des versions spécifiques lorsqu'elles seront disponibles. Quelle faille ce correctif permet-il de résoudre ? |
Élevée |
Clusters GKE sur
Dernière mise à jour : 23-02-2022
Description | Gravité |
---|---|
Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure. Pour en savoir plus, consultez la page Notes de version COS. Détails techniquesDans la faille CVE-2021-4154, un pirate informatique peut exploiter le paramètre d'appel du système La faille CVE-2021-22600 est une attaque "double-free" dans paquet_set_ring qui peut entraîner l'échappement du conteneur vers le nœud hôte. Avec la faille CVE-2022-0185, un bug de dépassement du tas de mémoire dans Legacy_parse_param() peut produire une écriture hors limites qui entraînera une interruption du conteneur. Les utilisateurs qui ont activé manuellement le profil seccomp de l'environnement d'exécution du conteneur par défaut sur les clusters GKE standards sont également protégés. Que dois-je faire ?Mise à jour du 23-02-2022 : la version 1.10.2 (correctifs CVE-2021-22600, CVE-2021-4154 et CVE-2022-0185) est désormais prévue pour le 1er mars. Mise à jour du 23-02-2022 : ajout de versions corrigées qui traitent la faille CVE-2021-2260. La version 1.10.1 ne résout pas les problèmes liés à la faille CVE-2021-22600, mais traite les autres failles. Les versions 1.9.4 et 1.10.2, non publiées, résoudront la faille CVE-2021-22600. Les versions des images de nœuds Linux pour les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers l'une des versions suivantes de GKE sur VMware :
Mise à jour du 04-02-2022 : ajout d'informations sur les images Ubuntu qui ne traitent pas la faille CVE-2021-22600. Les versions des images de nœuds Linux pour les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers l'une des versions suivantes de GKE sur VMware :
Quelle faille ce correctif permet-il de résoudre ? |
Élevée |
Clusters GKE sur
Description | Gravité |
---|---|
Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure. Pour en savoir plus, consultez la page Notes de version COS. Détails techniquesDans la faille CVE-2021-4154, un pirate informatique peut exploiter le paramètre d'appel du système La faille CVE-2021-22600 est une attaque "double-free" dans paquet_set_ring qui peut entraîner l'échappement du conteneur vers le nœud hôte. Avec la faille CVE-2022-0185, un bug de dépassement du tas de mémoire dans Legacy_parse_param() peut produire une écriture hors limites qui entraînera une interruption du conteneur. Les utilisateurs qui ont activé manuellement le profil seccomp de l'environnement d'exécution du conteneur par défaut sur les clusters GKE standards sont également protégés. Que dois-je faire ?GKE sur AWSLes versions des images de nœuds Linux pour les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers la version suivante de GKE sur AWS :
GKE sur AWS (génération précédente)Les versions des images de nœud Linux pour les versions suivantes des clusters GKE sur AWS (génération précédente) ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers l'une des versions de GKE sur AWS suivantes (génération précédente) :
Quelle faille ce correctif permet-il de résoudre ? |
Élevée |
GKE Enterprise sur
Description | Gravité |
---|---|
Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure. Pour en savoir plus, consultez la page Notes de version COS. Détails techniquesDans la faille CVE-2021-4154, un pirate informatique peut exploiter le paramètre d'appel du système La faille CVE-2021-22600 est une attaque "double-free" dans paquet_set_ring qui peut entraîner l'échappement du conteneur vers le nœud hôte. Avec la faille CVE-2022-0185, un bug de dépassement du tas de mémoire dans Legacy_parse_param() peut produire une écriture hors limites qui entraînera une interruption du conteneur. Les utilisateurs qui ont activé manuellement le profil seccomp de l'environnement d'exécution du conteneur par défaut sur les clusters GKE standards sont également protégés. Que dois-je faire ?Les versions des images de nœud Linux pour les versions suivantes de GKE sur Azure ont été mises à jour avec du code pour corriger ces failles. Mettez à niveau vos clusters vers la version suivante d'e GKE sur Azure :
Quelle faille ce correctif permet-il de résoudre ? |
Élevée |
GCP-2021-024
Date de publication : 21/10/2021Référence : CVE-2021-25742
GKE
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms. Que dois-je faire ?Ce problème de sécurité n'a aucune incidence sur votre infrastructure de cluster GKE, ni sur une infrastructure de cluster d'environnement GKE Enterprise. Si vous utilisez ingress-nginx lors de vos déploiements de charges de travail, vous devez avoir connaissance de ce problème de sécurité. Pour en savoir plus, consultez la page Problème ingress-nginx 7837. |
Aucune |
Clusters GKE sur
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms. Que dois-je faire ?Ce problème de sécurité n'a aucune incidence sur votre infrastructure de cluster GKE, ni sur une infrastructure de cluster d'environnement GKE Enterprise. Si vous utilisez ingress-nginx lors de vos déploiements de charges de travail, vous devez avoir connaissance de ce problème de sécurité. Pour en savoir plus, consultez la page Problème ingress-nginx 7837. |
Aucune |
Clusters GKE sur
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms. Que dois-je faire ?Ce problème de sécurité n'a aucune incidence sur votre infrastructure de cluster GKE, ni sur une infrastructure de cluster d'environnement GKE Enterprise. Si vous utilisez ingress-nginx lors de vos déploiements de charges de travail, vous devez avoir connaissance de ce problème de sécurité. Pour en savoir plus, consultez la page Problème ingress-nginx 7837. |
Aucune |
Clusters GKE sur
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms. Que dois-je faire ?Ce problème de sécurité n'a aucune incidence sur votre infrastructure de cluster GKE, ni sur une infrastructure de cluster d'environnement GKE Enterprise. Si vous utilisez ingress-nginx lors de vos déploiements de charges de travail, vous devez avoir connaissance de ce problème de sécurité. Pour en savoir plus, consultez la page Problème ingress-nginx 7837. |
Aucune |
GCP-2021-019
Publié : 2021-09-29GKE
Description | Gravité |
---|---|
Il existe un problème connu lorsque la mise à jour d'une ressource Suis-je concerné ?Si votre kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Ce problème affecte les versions GKE suivantes :
Si vous ne configurez pas Google Cloud Armor sur vos ressources Ingress via une ressource Que dois-je faire ?Mettez à niveau votre plan de contrôle GKE vers l'une des versions mises à jour suivantes, qui corrigent ce problème et permettent d'utiliser les ressources
Ce problème peut également être évité en évitant le déploiement des ressources Pour éviter ce problème, mettez à jour uniquement votre fichier Comme L'exemple de fichier manifeste suivant décrit une ressource apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Si vous disposez de systèmes ou d'outils CI/CD qui mettent régulièrement à jour des ressources |
Faible |
GCP-2021-022
Publié : 23/09/2021Clusters GKE sur
Description | Gravité |
---|---|
Une faille a été détectée dans le module LDAP GKE Enterprise Identity Service (AIS) des versions 1.8 et 1.8.1 de GKE sur VMware, où une clé initiale utilisée dans la génération de clés est prévisible. Avec cette faille, un utilisateur authentifié peut ajouter des revendications arbitraires et élever les privilèges indéfiniment. Détails techniquesUn ajout récent au code AIS crée des clés symétriques à l'aide du module math/rand de golang, qui n'est pas adapté au code sensible à la sécurité. Le module est utilisé de manière à générer une clé prévisible. Lors de la vérification de l'identité, une clé STS (Secure Token Service) est générée. Elle est ensuite chiffrée par une clé symétrique simple à obtenir. Que dois-je faire ?Cette faille affecte uniquement les clients utilisant AIS dans les versions 1.8 et 1.8.1 de GKE sur VMware. Pour les utilisateurs de GKE sur VMware 1.8, mettez à niveau vos clusters vers la version suivante :
|
Élevée |
GCP-2021-021
Date de publication : 2021-09-22Référence : CVE-2020-8561
GKE
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes Détails techniquesAvec cette faille, les personnes qui contrôlent les réponses des requêtes Ce problème peut être atténué en modifiant certains paramètres du serveur d'API. Que dois-je faire ?Aucune action de votre part n'est nécessaire pour l'instant. Les versions actuellement disponibles de GKE et GKE Enterprise ont mis en œuvre les mesures d'atténuation suivantes qui vous protègent contre ce type d'attaque :
Quelle faille ce correctif permet-il de résoudre ?<pCVE-2020-8561 </p |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes Détails techniquesAvec cette faille, les personnes qui contrôlent les réponses des requêtes Ce problème peut être atténué en modifiant certains paramètres du serveur d'API. Que dois-je faire ?Aucune action de votre part n'est nécessaire pour l'instant. Les versions actuellement disponibles de GKE et GKE Enterprise ont mis en œuvre les mesures d'atténuation suivantes qui vous protègent contre ce type d'attaque :
Quelle faille ce correctif permet-il de résoudre ?<pCVE-2020-8561 </p |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes Détails techniquesAvec cette faille, les personnes qui contrôlent les réponses des requêtes Ce problème peut être atténué en modifiant certains paramètres du serveur d'API. Que dois-je faire ?Aucune action de votre part n'est nécessaire pour l'instant. Les versions actuellement disponibles de GKE et GKE Enterprise ont mis en œuvre les mesures d'atténuation suivantes qui vous protègent contre ce type d'attaque :
Quelle faille ce correctif permet-il de résoudre ?<pCVE-2020-8561 </p |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes Détails techniquesAvec cette faille, les personnes qui contrôlent les réponses des requêtes Ce problème peut être atténué en modifiant certains paramètres du serveur d'API. Que dois-je faire ?Aucune action de votre part n'est nécessaire pour l'instant. Les versions actuellement disponibles de GKE et GKE Enterprise ont mis en œuvre les mesures d'atténuation suivantes qui vous protègent contre ce type d'attaque :
Quelle faille ce correctif permet-il de résoudre ?<pCVE-2020-8561 </p |
Moyenne |
GCP-2021-018
Date de publication : 15/09/2021Dernière mise à jour : 24/09/2021
Référence : CVE-2021-25741
Mise à jour du 24/09/2021 : bulletin GKE on Bare Metal mis à jour avec des versions corrigées supplémentaires.
Mise à jour du 20/09/2021 : bulletins ajoutés pour GKE on Bare Metal
Mise à jour du 16/09/2021 : bulletins ajoutés pour GKE sur VMware
GKE
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte. Détails techniques :Dans la faille CVE-2021-25741, le pirate peut créer un lien symbolique d'un emptyDir installé au système de fichiers racine du nœud ( / ). Le kubelet suit le lien symbolique et installe la racine de l'hôte dans le conteneur.Que dois-je faire ?Nous vous recommandons de mettre à niveau vos pools de nœuds vers l'une des versions suivantes ou ultérieure, afin de bénéficier des derniers correctifs :
Les versions suivantes contiennent également le correctif :
|
Élevée |
Clusters GKE sur
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte. Détails techniques :Dans la faille CVE-2021-25741, le pirate peut créer un lien symbolique d'un emptyDir installé au système de fichiers racine du nœud ( / ). Le kubelet suit le lien symbolique et installe la racine de l'hôte dans le conteneur.Que dois-je faire ?Mis à jour du 24/09/2021 : les versions 1.8.3 et 1.7.4 corrigées sont désormais disponibles. Mise à jour du 17/09/2021 : correction de la liste des versions disponibles contenant le correctif. Les versions suivantes de GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters d'administrateur et vos clusters d'utilisateur vers l'une des versions suivantes :
|
Élevée |
Clusters GKE sur
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte. Détails techniques :Dans la faille CVE-2021-25741, le pirate peut créer un lien symbolique d'un emptyDir installé au système de fichiers racine du nœud ( / ). Le kubelet suit le lien symbolique et installe la racine de l'hôte dans le conteneur.Que dois-je faire ?Mise à jour du 16-9-2021 : ajout d'une liste des versions gke-versions compatibles pour les objets Les versions suivantes de GKE sur AWS ont été mises à jour avec du code pour corriger cette faille. Voici nos recommandations :
|
Élevée |
Clusters GKE sur
Description | Gravité |
---|---|
Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte. Détails techniques :Dans la faille CVE-2021-25741, le pirate peut créer un lien symbolique d'un emptyDir installé au système de fichiers racine du nœud ( / ). Le kubelet suit le lien symbolique et installe la racine de l'hôte dans le conteneur.Que dois-je faire ?Les versions suivantes de GKE on Bare Metal ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters d'administrateur et vos clusters d'utilisateur vers l'une des versions suivantes :
|
Élevée |
GCP-2021-017
Date de publication : 01/09/2021Dernière mise à jour : 15/09/2021
Référence : CVE-2021-33909
CVE-2021-33910
GKE
Description | Gravité |
---|---|
Mise à jour du 23/09/2021 :Les conteneurs s'exécutant dans GKE Sandbox ne sont pas affectés par cette faille lorsque les attaques proviennent du conteneur. Mise à jour du 15/09/2021 :Les versions de GKE suivantes corrigent les failles :
Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu). Détails techniques :Dans la faille CVE-2021-33909, la couche du système de fichiers du noyau Linux ne limite pas correctement les allocations des tampons seq, ce qui conduit à un débordement d'entiers, à une écriture hors limite et à une escalade vers la racine. Que dois-je faire ?Les versions des images de nœuds Linux pour les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes :
|
Élevée |
Clusters GKE sur
Description | Gravité |
---|---|
Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu). Détails techniques :Dans la faille CVE-2021-33909, la couche du système de fichiers du noyau Linux ne limite pas correctement les allocations des tampons seq, ce qui conduit à un débordement d'entiers, à une écriture hors limite et à une escalade vers la racine. Que dois-je faire ?Les versions des images de nœud Linux pour GKE sur AWS ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes :
|
Élevée |
Clusters GKE sur
Description | Gravité |
---|---|
Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu). Détails techniques :Dans la faille CVE-2021-33909, la couche du système de fichiers du noyau Linux ne limite pas correctement les allocations des tampons seq, ce qui conduit à un débordement d'entiers, à une écriture hors limite et à une escalade vers la racine. Que dois-je faire ?Les versions des images de nœuds Linux et COS pour GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes :
Consultez Historique des versions – Kubernetes et versions de noyau de nœud. |
Élevée |
GCP-2021-015
Date de publication : 13-07-2021Dernière mise à jour : 15-07-2021
Référence : CVE-2021-22555
GKE
Description | Gravité |
---|---|
Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges Détails techniques
Dans cette attaque, une écriture hors limite dans Que dois-je faire ?Les versions suivantes de Linux sur GKE ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes :
Quelle faille ce correctif permet-il de résoudre ? |
Élevée |
Clusters GKE sur
Description | Gravité |
---|---|
Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges Détails techniques
Dans cette attaque, une écriture hors limite dans Que dois-je faire ?Les versions suivantes de Linux sur GKE sur VMware ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers l'une des versions suivantes :
Quelle faille ce correctif permet-il de résoudre ? |
Élevée |
GCP-2021-014
Date de publication : 2021-07-05Référence : CVE-2021-34527
GKE
Description | Gravité |
---|---|
Microsoft a publié un bulletin de sécurité sur la faille d'exécution de code à distance (RCE, Remote Code Execution) CVE-2021-34527, qui affecte le spouleur d'impression sur les serveurs Windows. Le CERT Coordination Center (CERT/CC) a publié une note de mise à jour sur une faille similaire, surnommée "PrintNightmare", qui affecte également les spouleurs d'impression Windows : PrintNightmare, Critical Windows Print Spooler Vulnerability. Que dois-je faire ?Aucune action n'est requise. Les nœuds Windows GKE ne contiennent pas le service de spouleur affecté dans l'image de base. Par conséquent, les déploiements Windows GKE ne sont pas vulnérables à cette attaque. Quelles failles ce bulletin permet-il de résoudre ?
|
Élevée |
GCP-2021-012
Date de publication : 01-07-2021Dernière mise à jour : 09-07-2021
Référence : CVE-2021-34824
GKE
Description | Gravité |
---|---|
Que dois-je faire ?Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-34824) affectant Istio. Istio souffre d'une faille utilisable à distance. Les identifiants spécifiés dans les champs Gateway et DestinationRule credentialName sont accessibles depuis différents espaces de noms. Détails techniques :La passerelle sécurisée Istio ou les charges de travail utilisant DestinationRule peuvent charger les clés privées et les certificats TLS à partir des secrets Kubernetes via la configuration de credentialName. À partir d'Istio 1.8 et versions ultérieures, les secrets sont lus à partir de istiod, et transmis aux passerelles et aux charges de travail via XDS. Normalement, un déploiement de passerelle ou de charge de travail ne peut accéder qu'aux certificats TLS et aux clés privées stockées dans le secret au sein de son espace de noms. Cependant, un bug dans istiod permet à un client autorisé à accéder à l'API XDS Istio de récupérer tous les certificats TLS et clés privées mises en cache dans istiod. Que dois-je faire ?Les clusters GKE n'exécutent pas Istio par défaut et, lorsqu'ils sont activés, utilisent la version 1.6 d'Istio, qui n'est pas vulnérable à cette attaque. Si vous avez installé ou mis à niveau Istio sur le cluster vers Istio 1.8 ou une version ultérieure, mettez à niveau votre système vers la dernière version compatible. |
Élevée |
Clusters GKE sur
Description | Gravité |
---|---|
Que dois-je faire ?Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-34824) affectant Istio. Istio souffre d'une faille utilisable à distance. Les identifiants spécifiés dans les champs Gateway et DestinationRule credentialName sont accessibles depuis différents espaces de noms. Détails techniques :La passerelle sécurisée Istio ou les charges de travail utilisant DestinationRule peuvent charger les clés privées et les certificats TLS à partir des secrets Kubernetes via la configuration de credentialName. À partir d'Istio 1.8 et versions ultérieures, les secrets sont lus à partir de istiod, et transmis aux passerelles et aux charges de travail via XDS. Normalement, un déploiement de passerelle ou de charge de travail ne peut accéder qu'aux certificats TLS et aux clés privées stockées dans le secret au sein de son espace de noms. Cependant, un bug dans istiod permet à un client autorisé à accéder à l'API XDS Istio de récupérer tous les certificats TLS et clés privées mises en cache dans istiod. Que dois-je faire ?Les clusters Anthos sur VMware v1.6 et v1.7 ne sont pas vulnérables à cette attaque. Les clusters Anthos on VMware v1.8 sont vulnérables. Si vous utilisez la version 1.8 de Clusters Anthos sur VMware, effectuez une mise à niveau vers la version corrigée suivante ou une version ultérieure :
|
Élevée |
Clusters GKE sur
Description | Gravité |
---|---|
Que dois-je faire ?Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-34824) affectant Istio. Istio souffre d'une faille utilisable à distance. Les identifiants spécifiés dans les champs Gateway et DestinationRule credentialName sont accessibles depuis différents espaces de noms. Détails techniques :La passerelle sécurisée Istio ou les charges de travail utilisant DestinationRule peuvent charger les clés privées et les certificats TLS à partir des secrets Kubernetes via la configuration de credentialName. À partir d'Istio 1.8 et versions ultérieures, les secrets sont lus à partir de istiod, et transmis aux passerelles et aux charges de travail via XDS. Normalement, un déploiement de passerelle ou de charge de travail ne peut accéder qu'aux certificats TLS et aux clés privées stockées dans le secret au sein de son espace de noms. Cependant, un bug dans istiod permet à un client autorisé à accéder à l'API XDS Istio de récupérer tous les certificats TLS et clés privées mises en cache dans istiod. Les clusters créés ou mis à niveau avec des clusters Anthos sur Bare Metal v1.8.0 sont affectés par cette faille CVE. Que dois-je faire ?Anthos v1.6 et 1.7 ne sont pas vulnérables à cette attaque. Si vous disposez de clusters v1.8.0, téléchargez et installez la version 1.8.1 de bmctl et mettez à niveau vos clusters vers la version corrigée suivante :
|
Élevée |
GCP-2021-011
Date de publication : 04/06/2021Dernière mise à jour : 19/10/2021
Référence : CVE-2021-30465
Mise à jour du 19/10/2021 : ajout de bulletins pour GKE sur VMware, GKE sur AWS et GKE sur Bare Metal.
GKE
Description | Gravité |
---|---|
La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans Pour GKE, étant donné que l'exploitation de cette faille nécessite la création de pods, nous avons évalué la gravité de cette faille sur MOYEN. Détails techniques
Le package Pour cette attaque spécifique, un utilisateur peut potentiellement exploiter une condition de concurrence en démarrant simultanément plusieurs pods sur un même nœud, qui partagent le même montage de volume avec un lien symbolique. Si l'attaque aboutit, l'un des pods installe le système de fichiers du nœud avec des autorisations racine. Que dois-je faire ?Un nouveau correctif est disponible dans Mettez à niveau votre cluster GKE vers l'une des versions mises à jour suivantes :
|
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans Pour GKE sur VMware, étant donné que l'exploitation de cette faille nécessite la création de pods, nous avons évalué la gravité de cette faille sur MOYEN. Détails techniques
Le package Pour cette attaque spécifique, un utilisateur peut potentiellement exploiter une condition de concurrence en démarrant simultanément plusieurs pods sur un même nœud, qui partagent le même montage de volume avec un lien symbolique. Si l'attaque aboutit, l'un des pods installe le système de fichiers du nœud avec des autorisations racine. Que dois-je faire ?Un nouveau correctif est disponible dans
|
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans Étant donné qu'il s'agit d'une faille au niveau du système d'exploitation, GKE sur AWS ne sont pas vulnérables. Détails techniques
Le package Pour cette attaque spécifique, un utilisateur peut potentiellement exploiter une condition de concurrence en démarrant simultanément plusieurs pods sur un même nœud, qui partagent le même montage de volume avec un lien symbolique. Si l'attaque aboutit, l'un des pods installe le système de fichiers du nœud avec des autorisations racine. Que dois-je faire ?Assurez-vous que la version d'OS sur laquelle vous exécutez GKE sur AWS est mise à niveau vers la dernière version de l'OS avec un packagerunc mis à jour.
|
Aucune |
Clusters GKE sur
Description | Gravité |
---|---|
La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans Étant donné qu'il s'agit d'une faille au niveau du système d'exploitation, GKE on Bare Metal ne sont pas vulnérables. Détails techniques
Le package Pour cette attaque spécifique, un utilisateur peut potentiellement exploiter une condition de concurrence en démarrant simultanément plusieurs pods sur un même nœud, qui partagent le même montage de volume avec un lien symbolique. Si l'attaque aboutit, l'un des pods installe le système de fichiers du nœud avec des autorisations racine. Que dois-je faire ?
Assurez-vous que la version d'OS sur laquelle vous exécutez Google Distributed Cloud Virtual pour Bare Metal est mise à niveau vers la dernière version de l'OS avec un package |
Aucune |
GCP-2021-006
Date de publication : 11-05-2021Référence : CVE-2201-31920
GKE
Description | Gravité |
---|---|
Le projet Istio a récemment divulgué une nouvelle faille de sécurité (CVE-2021-31920) affectant Istio. Istio souffre d'une faille utilisable à distance. Une requête HTTP comportant plusieurs barres obliques ou des barres obliques échappées peut contourner la règle d'autorisation Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées. Que dois-je faire ?Nous vous recommandons vivement de mettre à jour et de reconfigurer vos clusters GKE. Notez que vous devez suivre les deux étapes ci-dessous pour résoudre le problème :
|
Élevée |
GCP-2021-004
Date de publication : 06-05-2021Référence : CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
Description | Gravité |
---|---|
Les projets Envoy et Istio ont récemment divulgué plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258), qui permettent à un pirate informatique de faire planter Envoy. Les clusters GKE n'exécutent pas Istio par défaut et ne sont donc pas vulnérables. Si Istio a été installé dans un cluster et est configuré pour exposer des services sur Internet, ces services peuvent être vulnérables aux attaques par déni de service. Que dois-je faire ?Pour corriger ces failles, mettez à niveau le plan de contrôle GKE vers l'une des versions corrigées suivantes :
|
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Les projets Envoy et Istio ont récemment divulgué plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258), qui permettent à un pirate informatique de faire planter Envoy. GKE sur VMware utilise Envoy par défaut pour l'objet Ingress. Par conséquent, les objets Ingress peuvent être vulnérables aux attaques par déni de service. Que dois-je faire ?Pour corriger ces failles, mettez à niveau votre GKE sur VMware vers l'une des versions corrigées suivantes lors de leur publication :
|
Moyenne |
Clusters GKE sur
Dernière mise à jour : 06-05-2021
Description | Gravité |
---|---|
Les projets Envoy et Istio ont récemment divulgué plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258), qui permettent à un pirate informatique de faire planter Envoy. Google Distributed Cloud Virtual pour Bare Metal utilise Envoy par défaut pour Ingress. Par conséquent, les services Ingress peuvent être vulnérables aux attaques par déni de service. Que dois-je faire ?Pour corriger ces failles, mettez à niveau votre cluster Google Distributed Cloud Virtual pour Bare Metal vers l'une des versions corrigées suivantes lors de sa publication :
|
Moyenne |
GCP-2021-003
Date de publication : 19-04-2021Référence : CVE-2021-25735
GKE
Description | Gravité |
---|---|
Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation. Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Que dois-je faire ?Pour corriger cette faille, mettez à niveau votre cluster GKE vers l'une des versions corrigées suivantes :
|
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation. Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Que dois-je faire ?Une prochaine version du correctif permettra de réduire les risques liés à cette faille. |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation. Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Que dois-je faire ?Une prochaine version du correctif permettra de réduire les risques liés à cette faille. |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation. Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Que dois-je faire ?Une prochaine version du correctif permettra de réduire les risques liés à cette faille. |
Moyenne |
GCP-2021-001
Date de publication : 28-01-2021Référence : CVE-2121-3156
GKE
Description | Gravité |
---|---|
Une faille a été récemment découverte dans l'utilitaire Linux Les clusters Google Kubernetes Engine (GKE) ne sont pas affectés par cette faille :
Que dois-je faire ?Étant donné que les clusters GKE ne sont pas affectés par cette faille, aucune autre action n'est requise. GKE disposera d'un correctif pour cette faille qui sera appliqué avec une version ultérieure dans le calendrier standard de mise à jour. |
Aucune |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille a été récemment découverte dans l'utilitaire Linux GKE sur VMware n'est pas affecté par cette faille :
Que dois-je faire ?Étant donné que les clusters GKE sur VMware ne sont pas affectés par cette faille, aucune autre action n'est requise. Le correctif de cette faille sera appliqué à GKE sur VMware lors d'une prochaine release à intervalles réguliers. |
Aucune |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille a été récemment découverte dans l'utilitaire Linux Cette faille n'a pas d'incidence sur GKE sur AWS :
Que dois-je faire ?Étant donné que les clusters GKE sur AWS ne sont pas affectés par cette faille, aucune autre action n'est requise. Le correctif de cette faille sera appliqué à GKE sur AWS avec une version ultérieure dans le calendrier standard de mise à jour. |
Aucune |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille a été récemment découverte dans l'utilitaire Linux Les clusters Google Distributed Cloud Virtual pour Bare Metal ne sont pas affectés par cette faille :
Que dois-je faire ?Étant donné que les clusters Google Distributed Cloud Virtual pour Bare Metal ne sont pas affectés par cette faille, aucune autre action n'est requise. Le correctif de cette faille sera appliqué à Google Distributed Cloud Virtual pour Bare Metal lors d'une prochaine release à intervalles réguliers. |
Aucune |
GCP-2020-015
Date de publication : 07/12/2020Dernière mise à jour : 22/12/2021
Référence : CVE-2020-8554
Mise à jour du 22/12/2021 : utilise gcloud beta
au lieu de la commande gcloud
.
Mise à jour du 15/12/2021 : ajout d'un correctif pour GKE.
GKE
Description | Gravité |
---|---|
Dernière mise à jour : 22/12/2021 : la commande GKE de la section suivante doit utiliser gcloud beta au lieu de la commande gcloud .
gcloud beta container clusters update –no-enable-service-externalips Dernière mise à jour : 15/12/2021 Pour GKE, l'atténuation suivante est désormais disponible :
Pour en savoir plus, consultez la page Renforcer la sécurité d'un cluster. Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster. Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes. Tous les clusters Google Kubernetes Engine (GKE) sont affectés par cette faille. Que dois-je faire ?Kubernetes devra peut-être apporter des modifications d'incompatibilité ascendante dans une future version pour remédier à la faille. Si de nombreux utilisateurs partagent l'accès à votre cluster avec les autorisations requises pour créer des services, par exemple dans un cluster mutualisé, envisagez d'appliquer une mesure d'atténuation. À l'heure actuelle, la meilleure approche pour l'atténuation consiste à limiter l'utilisation d'adresses IP externes dans un cluster. Les adresses IP externes ne sont pas une fonctionnalité couramment utilisée. Limitez l'utilisation d'adresses IP externes dans un cluster avec l'une des méthodes suivantes :
Comme indiqué dans l'annonce concernant Kubernetes, aucune atténuation n'est fournie pour les services de type LoadBalancer, car par défaut, seuls les utilisateurs disposant des droits les plus privilégiés, ainsi que les composants du système, ont l'autorisation |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Dernière mise à jour : 22/12/2021 : la commande GKE de la section suivante doit utiliser gcloud beta au lieu de la commande gcloud .
gcloud beta container clusters update –no-enable-service-externalips Dernière mise à jour : 15/12/2021 Pour GKE, l'atténuation suivante est désormais disponible :
Pour en savoir plus, consultez la page Renforcer la sécurité d'un cluster. Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster. Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes. Tous les services GKE sur VMware sont affectés par cette faille. Que dois-je faire ?Kubernetes devra peut-être apporter des modifications d'incompatibilité ascendante dans une future version pour remédier à la faille. Si de nombreux utilisateurs partagent l'accès à votre cluster avec les autorisations requises pour créer des services, par exemple dans un cluster mutualisé, envisagez d'appliquer une mesure d'atténuation. À l'heure actuelle, la meilleure approche pour l'atténuation consiste à limiter l'utilisation d'adresses IP externes dans un cluster. Les adresses IP externes ne sont pas une fonctionnalité couramment utilisée. Limitez l'utilisation d'adresses IP externes dans un cluster avec l'une des méthodes suivantes :
Comme indiqué dans l'annonce concernant Kubernetes, aucune atténuation n'est fournie pour les services de type LoadBalancer, car par défaut, seuls les utilisateurs disposant des droits les plus privilégiés, ainsi que les composants du système, ont l'autorisation |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Dernière mise à jour : 22/12/2021 : la commande GKE de la section suivante doit utiliser gcloud beta au lieu de la commande gcloud .
gcloud beta container clusters update –no-enable-service-externalips Dernière mise à jour : 15/12/2021 Pour GKE, l'atténuation suivante est désormais disponible :
Pour en savoir plus, consultez la page Renforcer la sécurité d'un cluster. Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster. Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes. Tous les services GKE sur AWS sont affectés par cette faille. Que dois-je faire ?Kubernetes devra peut-être apporter des modifications d'incompatibilité ascendante dans une future version pour remédier à la faille. Si de nombreux utilisateurs partagent l'accès à votre cluster avec les autorisations requises pour créer des services, par exemple dans un cluster mutualisé, envisagez d'appliquer une mesure d'atténuation. À l'heure actuelle, la meilleure approche pour l'atténuation consiste à limiter l'utilisation d'adresses IP externes dans un cluster. Les adresses IP externes ne sont pas une fonctionnalité couramment utilisée. Limitez l'utilisation d'adresses IP externes dans un cluster avec l'une des méthodes suivantes :
Comme indiqué dans l'annonce concernant Kubernetes, aucune atténuation n'est fournie pour les services de type LoadBalancer, car par défaut, seuls les utilisateurs disposant des droits les plus privilégiés, ainsi que les composants du système, ont l'autorisation |
Moyenne |
GCP-2020-014
Date de publication : 20-10-2020Référence : CVE-2020-8563, CVE -2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Dernière mise à jour : 20-10-2020
Description | Gravité |
---|---|
Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :
GKE n'est pas affecté. Que dois-je faire ?Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE. |
Aucune |
Clusters GKE sur
Mise à jour : 10-10-2020
Description | Gravité |
---|---|
Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :
GKE sur VMware n'est pas affecté. Que dois-je faire ?Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE. |
Aucune |
Clusters GKE sur
Dernière mise à jour : 20-10-2020
Description | Gravité |
---|---|
Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :
GKE sur AWS n'est pas affecté. Que dois-je faire ?Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE. |
Aucune |
GCP-2020-012
Publié : 14-09-2020Référence : CVE-2020-14386
GKE
Description | Gravité |
---|---|
Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte. Tous les nœuds GKE sont affectés. Les pods exécutés dans GKE Sandbox ne peuvent pas exploiter cette faille. Que dois-je faire ?Pour corriger cette faille, mettez à jour le plan de contrôle, puis les nœuds vers l'une des versions corrigées répertoriées ci-dessous :
L'exploitation de cette faille nécessite Supprimez la fonctionnalité
Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille suivante : La faille CVE-2020-14386 permet aux conteneurs avec |
Élevée |
Clusters GKE sur
Mise à jour : 17-09-2020
Description | Gravité |
---|---|
Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte. Tous les nœuds GKE sur VMware sont affectés. Que dois-je faire ?Pour résoudre cette faille, mettez à niveau votre cluster vers une version incluant le correctif. Les prochaines versions de {gke_on_prem_name}} incluront le correctif pour cette faille. Le présent bulletin sera mis à jour dès que le correctif sera disponible :
L'exploitation de cette faille nécessite Supprimez la fonctionnalité
Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille suivante : La faille CVE-2020-14386 permet aux conteneurs avec |
Élevée |
Clusters GKE sur
Dernière mise à jour : 13-10-2020
Description | Gravité |
---|---|
Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte. Tous les nœuds GKE sur AWS sont affectés. Que dois-je faire ?Pour corriger cette faille, mettez à niveau votre service de gestion et vos clusters d'utilisateur vers une version corrigée. Les versions suivantes de GKE sur AWS et les versions ultérieures incluront le correctif pour cette faille, et ce bulletin sera mis à jour dès qu'il sera disponible :
Supprimez la fonctionnalité
Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille suivante : La faille CVE-2020-14386 permet aux conteneurs avec |
Élevée |
GCP-2020-011
Date de publication : 24-07-2020Référence : CVE-2020-8558
GKE
Description | Gravité |
---|---|
Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités. Pour exploiter cette faille sur les clusters GKE, le pirate informatique doit disposer de droits d'administrateur réseau sur le Google Cloud hébergeant le VPC du cluster. Cette faille seule n'accorde pas de droits d'administrateur réseau au pirate informatique. Pour cette raison, le niveau de gravité de cette faille est faible pour GKE. Que dois-je faire ?Pour corriger cette faille, mettez à jour les pools de nœuds de votre cluster vers les versions GKE suivantes (ou ultérieures) :
Quelle faille ce correctif permet-il de résoudre ?Ce correctif résout la faille suivante : CVE-2020-8558. |
Faible |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités. Que dois-je faire ?Pour résoudre cette faille, mettez à niveau votre cluster vers une version incluant le correctif. Les versions suivantes de GKE sur VMware ou des versions ultérieures contiennent le correctif pour cette faille :
Quelle faille ce correctif permet-il de résoudre ?Ce correctif résout la faille suivante : CVE-2020-8558. |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités. Pour exploiter cette faille sur les clusters d'utilisateur, un pirate informatique doit désactiver les vérifications source/destination sur les instances EC2 du cluster. Pour ce faire, le pirate informatique doit disposer des autorisations AWS IAM pour Que dois-je faire ?Pour résoudre cette faille, mettez à niveau votre cluster vers une version incluant le correctif. Les versions suivantes de GKE sur AWS et les versions ultérieures devraient inclure le correctif de cette faille :
Quelle faille ce correctif permet-il de résoudre ?Ce correctif résout la faille suivante : CVE-2020-8558. |
Faible |
GCP-2020-009
Date de publication : 15/07/2020Référence : CVE-2020-8559
GKE
Description | Gravité |
---|---|
Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction. Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster. Que dois-je faire ?Mettez à jour votre cluster vers une version corrigée. Les clusters seront mis à jour automatiquement au cours des prochaines semaines, et des versions corrigées seront disponibles d'ici le 19 juillet 2020 en suivant un calendrier accéléré des mises à jour manuelles. Les versions suivantes du plan de contrôle GKE et les versions plus récentes contiennent un correctif permettant de remédier à cette faille :
Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille CVE-2020-8559. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle nécessite que le pirate informatique ait préalablement reçu des informations personnelles sur le cluster, les nœuds et les charges de travail pour réaliser efficacement cette attaque en plus de disposer d'un nœud compromis. Cette faille en elle-même ne fournit pas un nœud compromis au pirate informatique. |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction. Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster. Que dois-je faire ?Mettez à niveau votre cluster vers une version corrigée. Les versions suivantes de GKE sur VMware ou des versions ultérieures contiennent le correctif pour cette faille :
Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille CVE-2020-8559. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle nécessite que le pirate informatique ait préalablement reçu des informations personnelles sur le cluster, les nœuds et les charges de travail pour réaliser efficacement cette attaque en plus de disposer d'un nœud compromis. Cette faille en elle-même ne fournit pas un nœud compromis au pirate informatique. |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction. Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster. Que dois-je faire ?La version en disponibilité générale de GKE sur AWS (1.4.1, disponible fin juillet 2020) ou version ultérieure inclut le correctif de cette faille. Si vous utilisez une version précédente, téléchargez une nouvelle version de l'outil de ligne de commande anthos-gke, puis recréez vos clusters de gestion et d'utilisateur. Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille CVE-2020-8559. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle nécessite que le pirate informatique ait préalablement reçu des informations personnelles sur le cluster, les nœuds et les charges de travail pour réaliser efficacement cette attaque en plus de disposer d'un nœud compromis. Cette faille en elle-même ne fournit pas un nœud compromis au pirate informatique. |
Moyenne |
GCP-2020-007
Date de publication : 01-06-2020Référence : CVE-2020-8555
GKE
Description | Gravité |
---|---|
La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs Kubernetes. Il est donc concerné par cette faille. Nous vous recommandons de mettre à jour le plan de contrôle en installant la dernière version du correctif, conformément à la procédure expliquée ci-dessous. Aucune mise à niveau de nœud n'est requise. Que dois-je faire ?Pour la plupart des clients, aucune action n'est requise. La grande majorité des clusters exécutent déjà une version corrigée. Les versions de GKE suivantes, ainsi que les versions ultérieures, contiennent le correctif de cette faille :
Les clusters qui ont recours à des canaux de publication utilisent déjà les versions du plan de contrôle permettant de réduire les risques liés à la faille. Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille CVE-2020-8555. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle était difficile à exploiter en raison des diverses mesures de renforcement des plans de contrôle. Un pirate informatique autorisé à créer un pod avec certains types de volumes intégrés (comme GlusterFS, Quobyte, StorageFS ou ScaleIO) ou à créer un objet StorageClass, peut activer l'envoi de requêtes Associés à des moyens permettant de partager les résultats de la commande |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs Kubernetes. Il est donc concerné par cette faille. Nous vous recommandons de mettre à niveau le plan de contrôle en installant la dernière version du correctif, conformément à la procédure expliquée ci-dessous. Aucune mise à niveau de nœud n'est requise. Que dois-je faire ?Les versions de GKE sur VMware suivantes ou des versions ultérieures contiennent le correctif pour cette faille :
Si vous utilisez une version précédente, mettez à niveau votre cluster existant vers une version bénéficiant du correctif. Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille CVE-2020-8555. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle était difficile à exploiter en raison des diverses mesures de renforcement des plans de contrôle. Un pirate informatique autorisé à créer un pod avec certains types de volumes intégrés (comme GlusterFS, Quobyte, StorageFS ou ScaleIO) ou à créer un objet StorageClass, peut activer l'envoi de requêtes Associés à des moyens permettant de partager les résultats de la commande |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs Kubernetes. Il est donc concerné par cette faille. Nous vous recommandons de mettre à niveau le plan de contrôle en installant la dernière version du correctif, conformément à la procédure expliquée ci-dessous. Aucune mise à niveau de nœud n'est requise. Que dois-je faire ?GKE sur AWS v0.20 ou une version ultérieure inclut déjà le correctif de cette faille. Si vous utilisez une version précédente, téléchargez une nouvelle version de l'outil de ligne de commande anthos-gke, puis recréez vos clusters de gestion et d'utilisateur. Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille CVE-2020-8555. La gravité de cette faille est évaluée comme moyenne pour GKE, car elle était difficile à exploiter en raison des diverses mesures de renforcement des plans de contrôle. Un pirate informatique autorisé à créer un pod avec certains types de volumes intégrés (comme GlusterFS, Quobyte, StorageFS ou ScaleIO) ou à créer un objet StorageClass, peut activer l'envoi de requêtes Associés à des moyens permettant de partager les résultats de la commande |
Moyenne |
GCP-2020-006
Date de publication : 01-06-2020Référence : Problème Kubernetes 91507
GKE
Description | Gravité |
---|---|
Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) sont affectés par cette faille. Par conséquent, nous vous recommandons de procéder à la mise à niveau en installant la dernière version du correctif, conformément à la procédure expliquée ci-dessous. Que dois-je faire ?Pour réduire les risques liés à cette faille, mettez votre plan de contrôle, puis vos nœuds en installant l'une des versions corrigées répertoriées ci-dessous. Les clusters situés sur des canaux de publication exécutent déjà une version corrigée aussi bien sur le plan de contrôle que sur les nœuds :
Très peu de conteneurs nécessitent généralement Supprimez la fonctionnalité
Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille suivante : La faille décrite dans l'article Problème Kubernetes 91507 est liée à la fonctionnalité |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) sont affectés par cette faille. Par conséquent, nous vous recommandons de procéder à la mise à niveau en installant la dernière version du correctif, conformément à la procédure expliquée ci-dessous. Que dois-je faire ?Pour atténuer ces failles pour GKE sur VMware, mettez à niveau les clusters vers la version suivante ou une version plus récente :
Très peu de conteneurs nécessitent généralement Supprimez la fonctionnalité
Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille suivante : La faille décrite dans l'article Problème Kubernetes 91507 est liée à la fonctionnalité |
Moyenne |
Clusters GKE sur
Description | Gravité |
---|---|
Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) sont affectés par cette faille. Par conséquent, nous vous recommandons de procéder à la mise à niveau en installant la dernière version du correctif, conformément à la procédure expliquée ci-dessous. Que dois-je faire ?Téléchargez l'outil de ligne de commande anthos-gke avec la version suivante ou ultérieure, puis recréez vos clusters de gestion et d'utilisateur :
Très peu de conteneurs nécessitent généralement Supprimez la fonctionnalité
Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille suivante : La faille décrite dans l'article Problème Kubernetes 91507 est liée à la fonctionnalité |
Moyenne |
GCP-2020-005
Date de publication : 07-05-2020Mise à jour : 07-05-2020
Référence : CVE-2020-8835
GKE
Description | Gravité |
---|---|
La faille CVE-2020-8835 a été récemment découverte dans le noyau Linux. Elle permet de "s'échapper d'un conteneur" pour obtenir un accès root (racine) sur le nœud hôte. Cette faille affecte les nœuds Ubuntu exécutant Google Kubernetes Engine (GKE) version 1.16 ou 1.17. Nous vous recommandons donc d'effectuer dès que possible une mise à niveau en installant la dernière version du correctif, conformément à la procédure décrite ci-dessous. Les nœuds exécutant Container-Optimized OS ne sont pas concernés, ni ceux exécutant GKE sur VMware. Que dois-je faire ?Pour la plupart des clients, aucune action n'est requise. Seuls les nœuds Ubuntu exécutant GKE version 1.16 ou 1.17 sont concernés. Avant tout, vous devez mettre à niveau votre nœud maître vers la toute dernière version. Le correctif sera disponible dans Kubernetes 1.16.8-gke.12 et 1.17.4-gke.10, ainsi que dans les versions ultérieures. Pour vérifier la disponibilité de ces correctifs, consultez les notes de version. Quelle faille ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille suivante : La faille CVE-2020-8835 affecte les versions 5.5.0 et ultérieures du noyau Linux. Elle permet à un conteneur malveillant d'accéder en lecture et en écriture à la mémoire du noyau, et ainsi d'exécuter des codes avec un accès root par le biais d'un simple appel système "exec". La gravité de cette faille est évaluée comme élevée. |
Élevée |
GCP-2020-004
Date de publication : 07-05-2020Dernière mise à jour : 07-05-2020
Référence : CVE-2019-11254
Clusters GKE sur
Description | Gravité |
---|---|
La faille CVE-2019-11254 a été récemment découverte dans Kubernetes. Elle permet à tout utilisateur autorisé d'effectuer des requêtes POST afin de réaliser une attaque par déni de service à distance sur un serveur d'API Kubernetes. Le comité de sécurité des produits (PSC, Product Security Committee) Kubernetes a publié des informations complémentaires sur cette faille. Pour les consulter, cliquez ici. Vous pouvez réduire les risques liés à cette faille en limitant les clients disposant d'un accès réseau à vos serveurs d'API Kubernetes. Que dois-je faire ?Nous vous recommandons de mettre à jour vos clusters vers des versions contenant le correctif permettant de remédier à cette faille dès que ces versions seront disponibles. Les versions qui contiennent le correctif sont indiquées ci-dessous :
Quelles failles ce correctif permet-il de résoudre ?Ce correctif permet de résoudre la faille de déni de service (DoS) suivante : |
Moyenne |
GCP-2020-003
Date de publication : 31-03-2020Dernière mise à jour : 31-03-2020
Référence : CVE-2019-11254
GKE
Description | Gravité |
---|---|
La faille CVE-2019-11254 a été récemment découverte dans Kubernetes. Elle permet à tout utilisateur autorisé d'effectuer des requêtes POST afin de réaliser une attaque par déni de service à distance sur un serveur d'API Kubernetes. Le comité de sécurité des produits (PSC, Product Security Committee) Kubernetes a publié des informations complémentaires sur cette faille. Pour les consulter, cliquez ici. Les clusters GKE qui utilisent des réseaux autorisés maîtres et des clusters privés sans accès à un point de terminaison public réduisent les risques liés à cette faille. Que dois-je faire ?Nous vous recommandons de mettre à niveau votre cluster vers une version du correctif permettant de remédier à cette faille. Les versions du correctif correspondantes sont indiquées ci-dessous :
Quelles failles ce correctif permet-il de résoudre ?Ce correctif permet de résoudre la faille de déni de service (DoS) suivante : |
Moyenne |
GCP-2020-002
Date de publication : 23-03-2020Dernière mise à jour : 23-03-2020
Référence : CVE-2020-8551, CVE-2020-8552
GKE
Description | Gravité |
---|---|
La communauté Kubernetes a divulgué deux failles de déni de service, l'une affectant le serveur d'API et l'autre ayant des conséquences sur les kubelets. Pour en savoir plus, reportez-vous aux problèmes Kubernetes 89377 et 89378. Que dois-je faire ?Tous les utilisateurs de GKE sont protégés contre la faille CVE-2020-8551 tant que les utilisateurs non approuvés ne peuvent pas envoyer de requêtes au sein du réseau interne du cluster. L'utilisation des réseaux autorisés maîtres réduit également les risques liés à la faille CVE-2020-8552. Quand des correctifs seront-ils appliqués ?Les correctifs de la faille CVE-2020-8551 nécessitent une mise à niveau des nœuds. Les versions du correctif permettant de réduire les risques liés à cette faille sont indiquées ci-dessous :
Les correctifs de la faille CVE-2020-8552 nécessitent une mise à niveau du maître. Les versions du correctif permettant de réduire les risques liés à cette faille sont indiquées ci-dessous :
|
Moyenne |
GCP-january_21_2020
Date de publication : 21-01-2020Dernière mise à jour : 24-01-2020
Référence : CVE-2019-11254
GKE
Description | Gravité |
---|---|
Mise à jour du 24/01/2020 : le processus de mise à disposition des versions corrigées est en cours et devrait s'achever le 25 janvier 2020. Microsoft a révélé la présence d'une faille dans l'API Windows Crypto et son processus de validation des signatures à courbes elliptiques. Pour en savoir plus, consultez le communiqué de Microsoft. Que dois-je faire ? Pour la plupart des clients, aucune action n'est requise. Seuls les nœuds qui exécutent Windows Server sont concernés. Les clients qui utilisent les nœuds Windows Server doivent mettre à jour à la fois les nœuds et les charges de travail en conteneur exécutées sur ceux-ci, en installant les versions corrigées pour réduire les risques liés à cette faille. Pour mettre à jour les conteneurs, procédez comme suit : Recréez vos conteneurs à l'aide des dernières images de conteneurs de base de Microsoft. Pour cela, sélectionnez un tag servercore ou nanoserver dont la mise à jour la plus récente a été effectuée le 14 janvier 2020 ou après cette date. Pour mettre à jour les nœuds, procédez comme suit : Le processus de mise à disposition des versions corrigées est en cours et s'achèvera d'ici le 24 janvier 2020. Vous pouvez soit patienter jusqu'à cette date et effectuer une mise à jour des nœuds en installant une version corrigée de GKE, soit utiliser Windows Update pour déployer le dernier correctif Windows manuellement à tout moment. Vous trouverez ci-dessous la liste des versions du correctif permettant de réduire les risques liés à cette faille :
Quelles failles ce correctif permet-il de résoudre ? Ce correctif réduit les risques liés aux failles suivantes : CVE-2020-0601 (aussi appelée la faille de spoofing de l'API Windows Crypto) : un pirate peut l'exploiter pour faire en sorte que ses fichiers exécutables malveillants soient considérés comme fiables ou encore pour procéder à des attaques de type MITM ("man in the middle") afin de déchiffrer des informations confidentielles diffusées via les connexions TLS associées aux logiciels concernés par la faille. |
Score de base NVD : 8,1 (élevé) |
Bulletins de sécurité archivés
Pour les bulletins de sécurité antérieurs à 2020, consultez l'archive des bulletins de sécurité.