Bollettini sulla sicurezza

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) è stata recentemente scoperta in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma sono interessati tutti gli altri cluster.

Sono interessati i cluster GKE Autopilot e Standard.

Che cosa devo fare?

Aggiornamento del 24/04/2024: sono state aggiunte versioni di patch per GKE.

Le seguenti versioni di GKE includono le patch di sicurezza di Golang per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE alle seguenti versioni o a una versione successiva:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE che incorporano queste patch. Per richiedere una patch in tempi accelerati, contatta l'assistenza.

Mitigare configurando le reti autorizzate per l'accesso al piano di controllo:

Puoi ridurre i cluster da questa classe di attacchi configurando reti autorizzate. Segui le istruzioni per abilitare le reti autorizzate per un cluster esistente.

Per scoprire di più su come le reti autorizzate controllano l'accesso al piano di controllo, vedi Come funzionano le reti autorizzate. Per vedere l'accesso alla rete autorizzato predefinito, visualizza la tabella nella sezione Accesso agli endpoint del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un aggressore di eseguire un attacco DoS sul piano di controllo Kubernetes.

Una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) è stata recentemente scoperta in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili versioni di GKE su VMware che incorporano queste patch. Per richiedere una patch in tempi accelerati, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un aggressore di eseguire un attacco DoS sul piano di controllo Kubernetes.

Una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) è stata recentemente scoperta in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE su AWS che incorporano queste patch. Per richiedere una patch in tempi accelerati, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un aggressore di eseguire un attacco DoS sul piano di controllo Kubernetes.

Una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) è stata recentemente scoperta in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE su Azure che incorporano queste patch. Per richiedere una patch in tempi accelerati, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un aggressore di eseguire un attacco DoS sul piano di controllo Kubernetes.

Una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) è stata recentemente scoperta in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili versioni di GKE su Bare Metal che incorporano queste patch. Per richiedere una patch in tempi accelerati, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un aggressore di eseguire un attacco DoS sul piano di controllo Kubernetes.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 04/04/2024: versioni minime corrette per i pool di nodi Container-Optimized OS di GKE.

Le versioni minime di GKE contenenti le correzioni di Container-Optimized OS elencate in precedenza non erano corrette. Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade dei pool di nodi Container-Optimized OS alle versioni seguenti o successive:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

Che cosa devo fare?

Aggiornamento 17/04/2024: sono state aggiunte versioni patch per GKE su VMware.

Le seguenti versioni di GKE su VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o a una versione successiva:

• 1.28.200
• 1.16.6
• 1.15.10

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

La CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Potrebbero essere interessati i cluster GKE Standard che eseguono nodi Windows Server e utilizzano un plug-in di archiviazione in-tree.

I cluster GKE Autopilot e i pool di nodi GKE che utilizzano GKE Sandbox non sono interessati perché non supportano i nodi Windows Server.

Che cosa devo fare?

Determina se sui tuoi cluster sono in uso nodi Windows Server:

kubectl get nodes -l kubernetes.io/os=windows

Controlla i registri di controllo per verificare la presenza di sfruttamento. Gli audit log di Kubernetes possono essere controllati per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi di percorso locali contenenti caratteri speciali sono un ottimo indicatore di sfruttamento.

Aggiorna il cluster GKE e i pool di nodi a una versione con patch. Le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi Windows Server a una delle seguenti versioni di GKE o a una versione successiva:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Quali vulnerabilità vengono affrontate da questa patch?

La CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

La CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Potrebbero essere interessati i cluster GKE su VMware che eseguono nodi Windows Server e utilizzano un plug-in di archiviazione in-tree.

Che cosa devo fare?

Determina se sui tuoi cluster sono in uso nodi Windows Server:

kubectl get nodes -l kubernetes.io/os=windows

Controlla i registri di controllo per verificare la presenza di sfruttamento. Gli audit log di Kubernetes possono essere controllati per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi di percorso locali contenenti caratteri speciali sono un ottimo indicatore di sfruttamento.

Aggiorna il cluster GKE su VMware e i pool di nodi a una versione con patch. Le seguenti versioni di GKE su VMware sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi Windows Server a una delle seguenti versioni di GKE su VMware o successive:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Quali vulnerabilità vengono affrontate da questa patch?

La CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

La CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Questo non influisce su GKE sui cluster AWS.

Che cosa devo fare?

Nessuna azione richiesta

La CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

GKE su cluster Azure non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

La CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE su Bare Metal non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe essere in grado di ottenere l'accesso completo al file system dei nodi.

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 28/02/2024: le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Aggiornamento 15/02/2024: a causa di un problema, le seguenti versioni patch di Ubuntu dell'aggiornamento del 14/02/2024 potrebbero causare lo stato non integro dei nodi. Non eseguire l'upgrade alle seguenti versioni di patch. Aggiorneremo questo bollettino quando saranno disponibili versioni più recenti delle patch per Ubuntu 1.25 e 1.26.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Se hai già eseguito l'upgrade a una di queste versioni patch, esegui manualmente il downgrade del pool di nodi a una versione precedente nel tuo canale di rilascio.

Aggiornamento 14/02/2024: le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Aggiornamento del 06/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Container-Optimized OS. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi di Container-Optimized OS a una delle seguenti versioni GKE o a versioni successive:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Stiamo aggiornando GKE con il codice per correggere questa vulnerabilità. Aggiorneremo questo bollettino quando saranno disponibili versioni patch.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per la generazione e l'esecuzione di container Linux utilizzati nei pod di Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori dei file sono stati inavvertitamente divulgati nel processo runc init eseguito all'interno di un container. runc inoltre non ha verificato che la directory di lavoro finale di un container fosse all'interno dello spazio dei nomi mount del container. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari potrebbero usare una combinazione di descrittori dei file trapelati e mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo, accedere all'intero file system dell'host e sovrascrivere programmi binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe essere in grado di ottenere l'accesso completo al file system dei nodi.

Che cosa devo fare?

Aggiornamento del 6/03/2024: le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o a una versione successiva:

• 1.28.200
• 1.16.6
• 1.15.9

Sono in corso versioni patch e una valutazione della gravità per GKE su VMware. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per la generazione e l'esecuzione di container Linux utilizzati nei pod di Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori dei file sono stati inavvertitamente divulgati nel processo runc init eseguito all'interno di un container. runc inoltre non ha verificato che la directory di lavoro finale di un container fosse all'interno dello spazio dei nomi mount del container. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari potrebbero usare una combinazione di descrittori dei file trapelati e mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo, accedere all'intero file system dell'host e sovrascrivere programmi binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe essere in grado di ottenere l'accesso completo al file system dei nodi.

Che cosa devo fare?

Sono in corso versioni patch e una valutazione della gravità per GKE su AWS. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per la generazione e l'esecuzione di container Linux utilizzati nei pod di Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori dei file sono stati inavvertitamente divulgati nel processo runc init eseguito all'interno di un container. runc inoltre non ha verificato che la directory di lavoro finale di un container fosse all'interno dello spazio dei nomi mount del container. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari potrebbero usare una combinazione di descrittori dei file trapelati e mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo, accedere all'intero file system dell'host e sovrascrivere programmi binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe essere in grado di ottenere l'accesso completo al file system dei nodi.

Che cosa devo fare?

Sono in corso versioni patch e una valutazione della gravità per GKE su Azure. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per la generazione e l'esecuzione di container Linux utilizzati nei pod di Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori dei file sono stati inavvertitamente divulgati nel processo runc init eseguito all'interno di un container. runc inoltre non ha verificato che la directory di lavoro finale di un container fosse all'interno dello spazio dei nomi mount del container. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari potrebbero usare una combinazione di descrittori dei file trapelati e mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo, accedere all'intero file system dell'host e sovrascrivere programmi binari arbitrari sul nodo.

In runc è stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in cui un utente con l'autorizzazione per creare pod potrebbe essere in grado di ottenere l'accesso completo al file system dei nodi.

Che cosa devo fare?

Aggiornamento del 02/04/2024: le seguenti versioni di GKE su Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o a una versione successiva:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Sono in corso versioni patch e una valutazione della gravità per GKE su Bare Metal. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate da questa patch?

runc è uno strumento di basso livello per la generazione e l'esecuzione di container Linux utilizzati nei pod di Kubernetes. Nelle versioni runc precedenti alle patch rilasciate in questo bollettino sulla sicurezza, diversi descrittori dei file sono stati inavvertitamente divulgati nel processo runc init eseguito all'interno di un container. runc inoltre non ha verificato che la directory di lavoro finale di un container fosse all'interno dello spazio dei nomi mount del container. Un'immagine container dannosa o un utente con l'autorizzazione a eseguire pod arbitrari potrebbero usare una combinazione di descrittori dei file trapelati e mancanza di convalida della directory di lavoro per ottenere l'accesso allo spazio dei nomi di montaggio dell'host di un nodo, accedere all'intero file system dell'host e sovrascrivere programmi binari arbitrari sul nodo.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6817

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 7/02/2024: sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6817

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6817

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6817

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6817

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Aggiornamento 26/01/2024: è stata pubblicata una ricerca sulla sicurezza che ha rilevato un numero ridotto di cluster GKE con un errore di configurazione creato dal cliente che coinvolge il gruppo system:authenticated. Il post del blog del ricercatore fa riferimento a 1300 cluster con alcune associazioni configurate in modo errato e 108 con privilegi elevati. Abbiamo lavorato a stretto contatto con i clienti interessati per informarli e fornire assistenza per rimuovere le associazioni non configurate correttamente.

Abbiamo identificato diversi cluster in cui gli utenti hanno concesso privilegi Kubernetes al gruppo system:authenticated, che include tutti gli utenti con un Account Google. Questi tipi di associazioni non sono consigliati perché violano il principio del privilegio minimo e concedono l'accesso a gruppi molto grandi di utenti. Consulta la sezione "Cosa devo fare" per istruzioni su come trovare questi tipi di associazioni.

Di recente, un ricercatore sulla sicurezza ha segnalato i risultati di cluster con configurazioni errate di RBAC tramite il nostro programma di segnalazione delle vulnerabilità.

L'approccio di Google all'autenticazione consiste nel rendere l'autenticazione su Google Cloud e GKE il più semplice e sicura possibile, senza aggiungere passaggi di configurazione complessi. L'autenticazione indica semplicemente chi è l'utente, mentre l'Autorizzazione è il luogo in cui viene determinato l'accesso. Di conseguenza, il gruppo system:authenticated in GKE che contiene tutti gli utenti autenticati tramite il provider di identità Google funziona come previsto e funziona come l'identificatore allAuthenticatedUsers di IAM.

Tenendo conto di questo, abbiamo adottato diversi passaggi per ridurre il rischio che gli utenti facciano errori di autorizzazione con gli utenti e i gruppi integrati di Kubernetes, tra cui system:anonymous, system:authenticated e system:unauthenticated. Tutti questi utenti/gruppi rappresentano un rischio per il cluster se vengono concesse le autorizzazioni. Abbiamo parlato di alcune attività di un utente malintenzionato che ha preso di mira le configurazioni errate dell'RBAC e le difese disponibili in Kubecon a novembre 2023.

Per proteggere gli utenti da errori di autorizzazione accidentali con questi utenti/gruppi di sistemi, abbiamo:

• Per impostazione predefinita sono state bloccate le nuove associazioni del ClusterRole cluster-admin con privilegi elevati all'utente system:anonymous, al gruppo system:authenticated o al gruppo system:unauthenticated nella versione 1.28 di GKE.
• Regole di rilevamento incorporate in Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) nell'ambito di Security Command Center.
• Regole di prevenzione configurabili integrate in Policy Controller con K8sRestrictRoleBindings.
• Sono stati inviati notifiche email a tutti gli utenti GKE con associazioni a questi utenti/gruppi per chiedere loro di rivedere la loro configurazione.
• Creazione di funzionalità di autorizzazione di rete e suggerimenti per limitare l'accesso alla rete ai cluster come primo livello di difesa.
• Ha sensibilizzato in merito a questo problema tramite una conferenza tenutasi a Kubecon a novembre 2023.

I cluster che applicano restrizioni sulle reti autorizzate hanno un primo livello di difesa: non possono essere attaccati direttamente da internet. Tuttavia, consigliamo comunque di rimuovere queste associazioni per una difesa approfondita e per evitare errori nei controlli di rete.
Tieni presente che esistono alcuni casi in cui le associazioni a utenti o gruppi di sistema Kubernetes vengono utilizzate intenzionalmente: ad esempio, per il boomstrap di kubeadm, la dashboard di Raancher e i secret sigillati Bitnami. Abbiamo confermato con questi fornitori di software che queste associazioni funzionano come previsto.

Stiamo studiando dei modi per proteggere ulteriormente contro gli errori di configurazione RBAC dell'utente con questi utenti/gruppi di sistema mediante prevenzione e rilevamento.

Che cosa devo fare?

Per evitare eventuali nuove associazioni di cluster-admin agli utenti system:anonymous, Gruppo system:authenticated o Gruppo system:unauthenticated possono eseguire l'upgrade a GKE 1.28 o versioni successive (note di rilascio), dove la creazione di queste associazioni è bloccata.

Le associazioni esistenti devono essere esaminate seguendo queste indicazioni.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Aggiornamento 20/02/2024: le seguenti versioni di GKE su VMware sono aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle versioni seguenti o successive: 1.28.100

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.

• CVE-2023-6111

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3609

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3609

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3609

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3609

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3609

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3389

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3389

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3389

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3389

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3389

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3090

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo Unconfined di seccomp o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3090

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3090

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3090

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3090

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3390

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.27.4-gke.400
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3390

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3390

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3390

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3390

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Un utente malintenzionato che ha compromesso il container di logging di Fluent Bit potrebbe combinare questo accesso con gli elevati privilegi richiesti da Anthos Service Mesh (sui cluster in cui è stato abilitato) per aumentare i privilegi nel cluster. I problemi di Fluent Bit e Anthos Service Mesh sono stati mitigati e ora sono disponibili delle correzioni. Queste vulnerabilità non sono sfruttabili da sole in GKE e richiedono una compromissione iniziale. Non siamo a conoscenza di casi di sfruttamento di queste vulnerabilità.

Questi problemi sono stati segnalati tramite il nostro Vulnerability Reward Program.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con codice per correggere queste vulnerabilità in Fluent Bit e per gli utenti del Anthos Service Mesh gestito. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di cluster e di nodi a una delle seguenti versioni di GKE o a una versione successiva:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico

Se il cluster utilizza Anthos Service Mesh nel cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato comprometta il container di logging di Fluent Bit. Non siamo a conoscenza di vulnerabilità esistenti in Fluent Bit che potrebbero portare a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo applicato la patch a queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacco completa in futuro

GKE utilizza Fluent Bit per elaborare i log dei carichi di lavoro in esecuzione sui cluster. Fluent Bit su GKE è stato anche configurato per raccogliere i log per i carichi di lavoro Cloud Run. Il montaggio del volume configurato per raccogliere questi log ha concesso a Fluent Bit l'accesso ai token dell'account di servizio Kubernetes per altri pod in esecuzione sul nodo. Il ricercatore ha utilizzato questo accesso per scoprire un token dell'account di servizio con privilegi elevati per i cluster in cui è abilitato Anthos Service Mesh.

Anthos Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Anthos Service Mesh per aumentare i privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster

Abbiamo rimosso l'accesso di Fluent Bit ai token dell'account di servizio e abbiamo riprogettato la funzionalità di Anthos Service Mesh per rimuovere i privilegi in eccesso.

Sono interessati solo i cluster GKE su VMware che utilizzano Anthos Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Anthos Service Mesh in-cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato abbia prima compromesso un container o uscindo in altro modo da un container o che abbia rooting su un nodo del cluster. Non siamo a conoscenza di vulnerabilità esistenti che potrebbero portare a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo applicato la patch a queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacco completa in futuro.

Anthos Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Anthos Service Mesh per aumentare i privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster.

Abbiamo riprogettato la funzionalità di Anthos Service Mesh in modo da rimuovere i privilegi eccessivi.

Sono interessati solo i cluster GKE su AWS che utilizzano Anthos Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Anthos Service Mesh in-cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato abbia prima compromesso un container o uscindo in altro modo da un container o che abbia rooting su un nodo del cluster. Non siamo a conoscenza di vulnerabilità esistenti che potrebbero portare a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo applicato la patch a queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacco completa in futuro.

Anthos Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Anthos Service Mesh per aumentare i privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster.

Abbiamo riprogettato la funzionalità di Anthos Service Mesh in modo da rimuovere i privilegi eccessivi.

Sono interessati solo i cluster GKE su Azure che utilizzano Anthos Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Anthos Service Mesh in-cluster, devi eseguire manualmente l'upgrade a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato abbia prima compromesso un container o uscindo in altro modo da un container o che abbia rooting su un nodo del cluster. Non siamo a conoscenza di vulnerabilità esistenti che potrebbero portare a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo applicato la patch a queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacco completa in futuro.

Anthos Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Anthos Service Mesh per aumentare i privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster.

Abbiamo riprogettato la funzionalità di Anthos Service Mesh in modo da rimuovere i privilegi eccessivi.

Sono interessati solo i cluster GKE su Bare Metal che utilizzano Anthos Service Mesh.

Che cosa devo fare?

Se il cluster utilizza Anthos Service Mesh in-cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Quali vulnerabilità vengono affrontate da questa patch?

Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato abbia prima compromesso un container o uscindo in altro modo da un container o che abbia rooting su un nodo del cluster. Non siamo a conoscenza di vulnerabilità esistenti che potrebbero portare a questa condizione dei prerequisiti per l'escalation dei privilegi. Abbiamo applicato la patch a queste vulnerabilità come misure di protezione avanzata per prevenire una potenziale catena di attacco completa in futuro.

Anthos Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Anthos Service Mesh per aumentare i privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster.

Abbiamo riprogettato la funzionalità di Anthos Service Mesh in modo da rimuovere i privilegi eccessivi.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5717

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 22/01/2024: sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5717

Che cosa devo fare?

Aggiornamento del 4/03/2024: le seguenti versioni di GKE su VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o a una versione successiva:

• 1.28.200
• 1.16.5
• 1.15.8

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5717

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5717

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5717

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5197

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni di patch o a versioni successive:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5197

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5197

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5197

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-5197

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4147

Sono interessati i cluster GKE Standard. I cluster GKE Autopilot non sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 15/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino se utilizzi questa versione secondaria nei tuoi nodi. Ad esempio, se utilizzi GKE versione 1.27, devi eseguire l'upgrade alla versione con patch corrispondente. Tuttavia, se utilizzi GKE versione 1.24, non è necessario eseguire l'upgrade a una versione con patch.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o a versioni successive:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Puoi applicare versioni patch dai canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità consente di proteggere i nodi finché la versione con patch non diventa la versione predefinita nel tuo canale di rilascio. Per maggiori dettagli, consulta Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4147

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4147

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4147

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4147

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4004

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 05/12/2023: alcune versioni di GKE erano mancanti. Di seguito è riportato un elenco aggiornato delle versioni di GKE in cui puoi aggiornare il tuo Container-Optimized OS:

• 1.24.17-gke.200 o versioni successive
• 1.25.13-gke.200 o versioni successive
• 1.26.8-gke.200 o versioni successive
• 1.27.4-gke.2300 o versioni successive
• 1.28.1-gke.1257000 o versioni successive

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni patch elencate in questo bollettino se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie che non sono elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o a versioni successive:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4004

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4004

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4004

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4004

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4921

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni patch elencate in questo bollettino se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie che non sono elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4921

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4921

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4921

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4921

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni patch elencate in questo bollettino se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie che non sono elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni patch elencate in questo bollettino se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie che non sono elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4623

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4015

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni patch elencate in questo bollettino se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie che non sono elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o a versioni successive:

• 1.27.5-gke.1647000

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4015

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4015

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4015

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4015

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni patch elencate in questo bollettino se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie che non sono elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o a versioni successive:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3777

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN. Anche i carichi di lavoro di GKE Sandbox non sono interessati.

Sono interessati i cluster Autopilot.

Sono interessati i cluster che utilizzano GKE Sandbox.

Che cosa devo fare?

Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni patch elencate in questo bollettino se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie che non sono elencate non sono interessate.

Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o a versioni successive:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3777

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3777

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3777

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-3777

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non raggruppa un sistema operativo nella sua distribuzione.

Una vulnerabilità Denial of Service (DoS) è stata recentemente scoperta in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma sono interessati tutti gli altri cluster.

Che cosa devo fare?

Aggiornamento del 09/11/2023: abbiamo rilasciato nuove versioni di GKE che includono le patch di sicurezza di Go e Kubernetes, a cui puoi aggiornare subito i tuoi cluster. Nelle prossime settimane rilasceremo ulteriori modifiche al piano di controllo GKE per ridurre ulteriormente questo problema.

Le seguenti versioni di GKE sono state aggiornate con le patch per CVE-2023-44487 e CVE-2023-39325:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Ti consigliamo di applicare la seguente mitigazione il prima possibile ed eseguire l'upgrade alla versione più recente con patch, se disponibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e qualificaremo un nuovo server API Kubernetes con queste patch e creeremo una release con patch per GKE. Quando la release di GKE sarà disponibile, aggiorneremo questo bollettino con indicazioni sulla versione per cui eseguire l'upgrade del piano di controllo. Inoltre, renderemo visibili le patch all'interno della postura di sicurezza di GKE quando disponibile per il tuo cluster. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale, abilita le notifiche per il cluster.

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa la versione predefinita per il tuo canale specifico di rilascio.

Mitigare l'accesso configurando le reti autorizzate per l'accesso al piano di controllo:

Puoi aggiungere reti autorizzate per i cluster esistenti. Per scoprire di più, consulta Rete autorizzata per cluster esistenti.

Oltre alle reti autorizzate che aggiungi, esistono indirizzi IP preimpostati che possono accedere al piano di controllo GKE. Per saperne di più su questi indirizzi, vedi Accesso agli endpoint del piano di controllo. I seguenti elementi riepilogano l'isolamento del cluster:

• I cluster privati con cluster basati su --master-authorized-networks e PSC con --master-authorized-networks e --no-enable-google-cloud configurati sono i più isolati.
• I cluster pubblici legacy con i cluster basati su --master-authorized-networks e PSC con --master-authorized-networks e --enable-google-cloud (predefinito) configurati sono accessibili anche da quanto segue:
  • Indirizzi IP pubblici di tutte le VM di Compute Engine in Google Cloud
  • Indirizzi IP della piattaforma Google Cloud

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità CVE-2023-44487 consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo GKE.

Una vulnerabilità Denial of Service (DoS) è stata recentemente scoperta in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Kubernetes. GKE su VMware crea cluster Kubernetes che non sono accessibili direttamente a internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento 14/02/2024: le seguenti versioni di GKE su VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni di patch o a versioni successive:

• 1.28.100
• 1.16.6
• 1.15.8

Se hai configurato i tuoi cluster GKE su VMware per avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare tale accesso.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e qualificaremo un nuovo server API Kubernetes con queste patch e creeremo una release con patch per GKE. Una volta disponibile la release GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

Una vulnerabilità Denial of Service (DoS) è stata recentemente scoperta in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Kubernetes. GKE su AWS crea cluster Kubernetes privati che non sono accessibili direttamente a internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento 20/03/2024: le seguenti versioni di GKE su AWS sono state aggiornate con patch per CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Se hai configurato GKE su AWS in modo che abbia accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare tale accesso.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e qualificaremo un nuovo server API Kubernetes con queste patch e creeremo una release con patch per GKE. Una volta disponibile la release GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

Una vulnerabilità Denial of Service (DoS) è stata recentemente scoperta in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Kubernetes. GKE su Azure crea cluster Kubernetes privati che non sono accessibili direttamente a internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Aggiornamento 20/03/2024: le seguenti versioni di GKE su Azure sono state aggiornate con le patch per CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Se hai configurato GKE su cluster Azure in modo che abbia accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare tale accesso.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

Una vulnerabilità Denial of Service (DoS) è stata recentemente scoperta in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe portare a un DoS del piano di controllo Kubernetes. Anthos on Bare Metal crea cluster Kubernetes che non sono accessibili direttamente a internet per impostazione predefinita e sono protetti da questa vulnerabilità.

Che cosa devo fare?

Se hai configurato i tuoi cluster Kubernetes Anthos on Bare Metal in modo che abbiano accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare tale accesso. Per saperne di più, consulta la panoramica sulla sicurezza di GKE su Bare Metal.

Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile.

Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e qualificaremo un nuovo server API Kubernetes con queste patch e creeremo una release con patch per GKE. Una volta disponibile la release GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di aumentare i privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

I cluster GKE sono interessati solo se includono nodi Windows.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di cluster e di nodi a una delle seguenti versioni di GKE:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

Il piano di controllo GKE verrà aggiornato la settimana del 4/09/2023 per aggiornare csi-proxy alla versione 1.1.3. Se aggiorni i nodi prima dell'aggiornamento del piano di controllo, dovrai aggiornarli di nuovo dopo l'aggiornamento per poter utilizzare il nuovo proxy. Puoi aggiornare di nuovo i nodi, anche senza modificare la versione, eseguendo il comando gcloud container clusters upgrade e passando il flag --cluster-version con la stessa versione di GKE con cui è già in esecuzione il pool di nodi. Per questa soluzione alternativa devi utilizzare gcloud CLI. Tieni presente che ciò comporterà un aggiornamento indipendentemente dai periodi di manutenzione.

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-3676, un utente malintenzionato potrebbe creare una specifica di pod con stringhe di percorso dell'host che contengono i comandi PowerShell. kubelet non dispone della sanitizzazione degli input e passa questa stringa di percorso creata all'esecutore del comando come argomento in cui eseguirebbe parti della stringa come comandi separati. Questi comandi vengono eseguiti con gli stessi privilegi amministrativi di Kubelet.

Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice allo stesso livello di autorizzazione dell'agente Kubelet, con autorizzazioni privilegiate.

Con CVE-2023-3893, una mancanza simile di sanitizzazione dell'input consente a un utente che può creare pod sui nodi Windows che eseguono kubernetes-csi-proxy, di riassegnare i privilegi amministrativi su quei nodi.

Gli audit log di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Gli eventi di creazione dei pod con comandi PowerShell incorporati sono un ottimo indicatore di sfruttamento. Anche gli oggetti ConfigMap e Secret contengono comandi PowerShell incorporati e montati nei pod sono un'indicazione chiara dello sfruttamento.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di aumentare i privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

I cluster sono interessati solo se includono nodi Windows.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-3676, un utente malintenzionato potrebbe creare una specifica di pod con stringhe di percorso dell'host che contengono i comandi PowerShell. kubelet non dispone della sanitizzazione degli input e passa questa stringa di percorso creata all'esecutore del comando come argomento in cui eseguirebbe parti della stringa come comandi separati. Questi comandi vengono eseguiti con gli stessi privilegi amministrativi di Kubelet.

Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice allo stesso livello di autorizzazione dell'agente Kubelet, con autorizzazioni privilegiate.

Con CVE-2023-3893, una mancanza simile di sanitizzazione dell'input consente a un utente che può creare pod sui nodi Windows che eseguono kubernetes-csi-proxy, di riassegnare i privilegi amministrativi su quei nodi.

Gli audit log di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Gli eventi di creazione dei pod con comandi PowerShell incorporati sono un ottimo indicatore di sfruttamento. Anche gli oggetti ConfigMap e Secret contengono comandi PowerShell incorporati e montati nei pod sono un'indicazione chiara dello sfruttamento.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di aumentare i privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

Che cosa devo fare?

GKE su AWS non è interessato da questi CVE. Non è richiesto alcun intervento da parte tua.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di aumentare i privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

Che cosa devo fare?

Queste CVE non influiscono su GKE su Azure. Non è richiesto alcun intervento da parte tua.

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di aumentare i privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e il proxy CSI di Kubernetes.

Che cosa devo fare?

GKE su Bare Metal non è interessato da questi CVE. Non è richiesto alcun intervento da parte tua.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati, in quanto i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. Sono interessati i cluster GKE Standard con versione 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS.

I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, eseguono versioni precedenti alla 1.25 o utilizzano GKE Sandbox.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa la versione predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2235, la funzione perf_group_remove non ha verificato lo stato di collegamento dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha reso possibile chiamare list_del_event() prima di scollegarsi dal gruppo, rendendo possibile l'utilizzo di un puntatore sospeso che causa una vulnerabilità use-after-free.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a escalation dei privilegi sul nodo. Sono interessati i cluster GKE su VMware.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2235, la funzione perf_group_remove non ha verificato lo stato di collegamento dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha reso possibile chiamare list_del_event() prima di scollegarsi dal gruppo, rendendo possibile l'utilizzo di un puntatore sospeso che causa una vulnerabilità use-after-free.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a escalation dei privilegi sul nodo. Sono interessati GKE su cluster AWS.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-2235, la funzione perf_group_remove non ha verificato lo stato di collegamento dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha reso possibile chiamare list_del_event() prima di scollegarsi dal gruppo, rendendo possibile l'utilizzo di un puntatore sospeso che causa una vulnerabilità use-after-free.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a escalation dei privilegi sul nodo. Sono interessati GKE su cluster Azure.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-2235, la funzione perf_group_remove non ha verificato lo stato di collegamento dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec ha reso possibile chiamare list_del_event() prima di scollegarsi dal gruppo, rendendo possibile l'utilizzo di un puntatore sospeso che causa una vulnerabilità use-after-free.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a escalation dei privilegi sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questa CVE.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 11/07/2023: sono disponibili versioni patch per Ubuntu.

Le seguenti versioni di GKE sono state aggiornate in modo da includere le ultime versioni di Ubuntu che applicano la patch a CVE-2023-31436:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa la versione predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-31436, è stato trovato un difetto di accesso alla memoria fuori dai limiti nel sottosistema controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a escalation dei privilegi sul nodo. Sono interessati i cluster GKE su VMware.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate?

Con CVE-2023-31436, è stato trovato un difetto di accesso alla memoria fuori dai limiti nel sottosistema controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a escalation dei privilegi sul nodo. Sono interessati GKE su cluster AWS.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-31436, è stato trovato un difetto di accesso alla memoria fuori dai limiti nel sottosistema controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a escalation dei privilegi sul nodo. Sono interessati GKE su cluster Azure.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2023-31436, è stato trovato un difetto di accesso alla memoria fuori dai limiti nel sottosistema controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questo difetto consente a un utente locale di arrestarsi in modo anomalo o potenzialmente aumentare i propri privilegi sul sistema.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a escalation dei privilegi sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questa CVE.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

Sono state scoperte una serie di vulnerabilità in Envoy, che viene utilizzato in Anthos Service Mesh (ASM). Questi dati sono stati segnalati separatamente come GCP-2023-002.

GKE non viene fornito con ASM e non è interessato da queste vulnerabilità.

Che cosa devo fare?

Se hai installato separatamente ASM per i tuoi cluster GKE, consulta GCP-2023-002.

Alcune vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), sono state utilizzate in Anthos Service Mesh Questi report sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che i clienti di GKE Enterprise aggiorni le proprie versioni che includono ASM.

Che cosa devo fare?

Le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE su VMware:

• 1.13.8
• 1.14.5
• 1.15.1

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato, un utente malintenzionato potrebbe creare una richiesta che causerebbe il denial of service con l'arresto anomalo di Envoy.

CVE-2023-27488: gli utenti malintenzionati possono utilizzare questa vulnerabilità per aggirare i controlli di autenticazione quando viene utilizzato ext_authz.

CVE-2023-27493: la configurazione Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste generate utilizzando gli input della richiesta, ad esempio il certificato SAN del certificato peer.

CVE-2023-27492: gli utenti malintenzionati possono inviare corpi di richieste di grandi dimensioni per le route in cui è abilitato il filtro Lua e attivano gli arresti anomali.

CVE-2023-27491: gli utenti malintenzionati possono inviare richieste HTTP/2 o HTTP/3 appositamente create per attivare errori di analisi sul servizio upstream HTTP/1.

CVE-2023-27487: l'intestazione x-envoy-original-path deve essere un'intestazione interna, ma Envoy non rimuove questa intestazione dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

In Anthos Service Mesh è stata scoperta una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487). Questi dati sono stati segnalati separatamente come GCP-2023-002.

GKE su AWS non viene spedito con ASM e non è interessato.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

In Anthos Service Mesh è stata scoperta una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487). Questi dati sono stati segnalati separatamente come GCP-2023-002.

GKE su Azure non viene spedito con ASM e non è interessato.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

Alcune vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), sono state rilevate in un arresto anomalo di un Anthos Service Mesh mesh di Envoy Questi report sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che i clienti di GKE Enterprise aggiorni le proprie versioni che includono ASM.

Che cosa devo fare?

Le seguenti versioni di GKE su Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE su Bare Metal:

• 1.13.9
• 1.14.6
• 1.15.2

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato, un utente malintenzionato potrebbe creare una richiesta che causerebbe il denial of service con l'arresto anomalo di Envoy.

CVE-2023-27488: gli utenti malintenzionati possono utilizzare questa vulnerabilità per aggirare i controlli di autenticazione quando viene utilizzato ext_authz.

CVE-2023-27493: la configurazione Envoy deve includere anche un'opzione per aggiungere intestazioni delle richieste generate utilizzando gli input della richiesta, ad esempio il certificato SAN del certificato peer.

CVE-2023-27492: gli utenti malintenzionati possono inviare corpi di richieste di grandi dimensioni per le route in cui è abilitato il filtro Lua e attivano gli arresti anomali.

CVE-2023-27491: gli utenti malintenzionati possono inviare richieste HTTP/2 o HTTP/3 appositamente create per attivare errori di analisi sul servizio upstream HTTP/1.

CVE-2023-27487: l'intestazione x-envoy-original-path deve essere un'intestazione interna, ma Envoy non rimuove questa intestazione dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può portare a un denial of service sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa la versione predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate?

In CVE-2023-0468, è stato rilevato un difetto use-after-free in io_uring/poll.c in io_poll_check_events nel sottocomponente io_uring nel kernel Linux. Questo difetto può causare la deriferimento del puntatore NULL e potenzialmente un arresto anomalo del sistema che porta a un denial of service.

Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può portare a un denial of service sul nodo.

GKE su VMware utilizza la versione 5.4 del kernel Linux e non è interessato da questa CVE.

Che cosa devo fare?

• Non è necessaria alcuna azione

Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può portare a un denial of service sul nodo.

Questa CVE non influisce su GKE su AWS.

Che cosa devo fare?

• Non è necessaria alcuna azione

Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può portare a un denial of service sul nodo.

Questa CVE non influisce su GKE su Azure.

Che cosa devo fare?

• Non è necessaria alcuna azione

Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può portare a un denial of service sul nodo.

Google Distributed Cloud Virtual for Bare Metal non è interessato da questa CVE.

Che cosa devo fare?

• Non è necessaria alcuna azione

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza che consentono agli utenti di lanciare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728).

GKE non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico.

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare i container utilizzando immagini limitate da ImagePolicyWebhook quando usano i container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questa CVE può anche essere mitigata utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728). Anthos on VMware non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.

Tutte le versioni di Anthos su VMware sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento 11/08/2023: le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE su VMware:

• 1.13.10
• 1.14.6
• 1.15.3

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare i container utilizzando immagini limitate da ImagePolicyWebhook quando usano i container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questa CVE può anche essere mitigata utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos su AWS non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-272
Tutte le versioni di Anthos su AWS sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento 11/08/2023: la seguente versione di GKE su AWS è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione di GKE su AWS:

• 1.15.2

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare i container utilizzando immagini limitate da ImagePolicyWebhook quando usano i container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questa CVE può anche essere mitigata utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos on Azure non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727.
Tutte le versioni di Anthos on Azure sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento 11/08/2023: la seguente versione di GKE su Azure è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla versione seguente di GKE su Azure:

• 1.15.2

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare i container utilizzando immagini limitate da ImagePolicyWebhook quando usano i container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questa CVE può anche essere mitigata utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728)
Anthos su Bare Metal non utilizza ImagePolicyWebhook e non è interessato da CVE-2023.272
Tutte le versioni di Anthos on Bare Metal sono potenzialmente vulnerabili a CVE-2023-2728.

Che cosa devo fare?

Aggiornamento 11/08/2023: le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal sono state aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi a una delle seguenti versioni di Google Distributed Cloud Virtual for Bare Metal:

• 1.13.9
• 1.14.7
• 1.15.3

Quali vulnerabilità vengono affrontate?

Con CVE-2023-2727, gli utenti potrebbero essere in grado di avviare i container utilizzando immagini limitate da ImagePolicyWebhook quando usano i container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questa CVE può anche essere mitigata utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni.

In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:

• Viene utilizzato il plug-in di ammissione ServiceAccount.
• L'annotazione kubernetes.io/enforce-mountable-secrets viene utilizzata da un account di servizio. Questa annotazione non viene aggiunta per impostazione predefinita.
• I pod utilizzano container temporanei.

In secrets-store-csi-driver è stata scoperta una nuova vulnerabilità (CVE-2023-2878) in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni Cloud Vault.

Questa CVE non influisce su GKE.

Che cosa devo fare?

Sebbene GKE non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per l'esecuzione a livello di log 2 o superiore tramite il flag -v.

In secrets-store-csi-driver è stata scoperta una nuova vulnerabilità (CVE-2023-2878) in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni Cloud Vault.

Questa CVE non influisce su GKE su VMware.

Che cosa devo fare?

Sebbene GKE su VMware non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per l'esecuzione a livello di log 2 o superiore tramite il flag -v.

In secrets-store-csi-driver è stata scoperta una nuova vulnerabilità (CVE-2023-2878) in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni Cloud Vault.

Questa CVE non influisce su GKE su AWS.

Che cosa devo fare?

Sebbene GKE su AWS non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per l'esecuzione a livello di log 2 o superiore tramite il flag -v.

In secrets-store-csi-driver è stata scoperta una nuova vulnerabilità (CVE-2023-2878) in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni Cloud Vault.

GKE su Azure non è interessato da questa CVE

Che cosa devo fare?

Sebbene GKE su Azure non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per l'esecuzione a livello di log 2 o superiore tramite il flag -v.

In secrets-store-csi-driver è stata scoperta una nuova vulnerabilità (CVE-2023-2878) in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni Cloud Vault.

Questa CVE non influisce su GKE su Bare Metal.

Che cosa devo fare?

Sebbene GKE su Bare Metal non sia interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, in cui un aggressore con accesso ai log dei driver potrebbe osservare i token account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni Cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per l'esecuzione a livello di log 2 o superiore tramite il flag -v.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a escalation dei privilegi per eseguire il root sul nodo. Sono interessati i cluster GKE Standard e Autopilot.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa la versione predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

La CVE-2023-1872 è una vulnerabilità use-after-free nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere escalation dei privilegi locale. La funzione io_file_get_fixed non è presente in presenza di ctx->uring_lock, il che può portare a una vulnerabilità "use-after-free" a causa di una race condition con condizioni di annullamento della registrazione dei file corretti.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a escalation dei privilegi per eseguire il root sul nodo.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

La CVE-2023-1872 è una vulnerabilità use-after-free nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere escalation dei privilegi locale. La funzione io_file_get_fixed non è presente in presenza di ctx->uring_lock, il che può portare a una vulnerabilità "use-after-free" a causa di una race condition con condizioni di annullamento della registrazione dei file corretti.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a escalation dei privilegi per eseguire il root sul nodo.

Che cosa devo fare?

Le seguenti versioni di GKE su AWS sono state aggiornate con codice per correggere queste vulnerabilità:

Quali vulnerabilità vengono affrontate da questa patch?

La CVE-2023-1872 è una vulnerabilità use-after-free nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere escalation dei privilegi locale. La funzione io_file_get_fixed non è presente in presenza di ctx->uring_lock, il che può portare a una vulnerabilità "use-after-free" a causa di una race condition con condizioni di annullamento della registrazione dei file corretti.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a escalation dei privilegi per eseguire il root sul nodo.

Che cosa devo fare?

Le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere queste vulnerabilità:

Quali vulnerabilità vengono affrontate da questa patch?

La CVE-2023-1872 è una vulnerabilità use-after-free nel sottosistema io_uring del kernel Linux che può essere sfruttata per ottenere escalation dei privilegi locale. La funzione io_file_get_fixed non è presente in presenza di ctx->uring_lock, il che può portare a una vulnerabilità "use-after-free" a causa di una race condition con condizioni di annullamento della registrazione dei file corretti.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a escalation dei privilegi per eseguire il root sul nodo.

Questa CVE non influisce su GKE su Bare Metal.

Che cosa devo fare?

Non occorre alcun intervento.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per eseguire il root sul nodo. Sono interessati i cluster GKE Standard.

I cluster e i cluster GKE Autopilot che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 06/06/2023: sono disponibili versioni patch per Ubuntu.

Le seguenti versioni di GKE sono state aggiornate in modo da includere le ultime versioni di Ubuntu che applicano le patch a CVE-2023-1281 e CVE-2023-1829:

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa la versione predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità use-after-free nel filtro dell’indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere escalation dei privilegi locale.

Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in alcuni casi, il che può portare a una doppia liberazione di una struttura di dati.

In CVE-2023-1281, l'area hash imperfetta può essere aggiornata mentre i pacchetti sono in transito, il che causerà un use-after-free quando tcf_exts_exec() viene chiamato con l'eliminazione tcf_ext. Un utente malintenzionato locale può utilizzare questa vulnerabilità per aumentare i suoi privilegi di root.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per eseguire il root sul nodo.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità use-after-free nel filtro dell’indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere escalation dei privilegi locale.

Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in alcuni casi, il che può portare a una doppia liberazione di una struttura di dati.

In CVE-2023-1281, l'area hash imperfetta può essere aggiornata mentre i pacchetti sono in transito, il che causerà un use-after-free quando tcf_exts_exec() viene chiamato con l'eliminazione tcf_ext. Un utente malintenzionato locale può utilizzare questa vulnerabilità per aumentare i suoi privilegi di root.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per eseguire il root sul nodo.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità use-after-free nel filtro dell’indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere escalation dei privilegi locale.

Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in alcuni casi, il che può portare a una doppia liberazione di una struttura di dati.

In CVE-2023-1281, l'area hash imperfetta può essere aggiornata mentre i pacchetti sono in transito, il che causerà un use-after-free quando tcf_exts_exec() viene chiamato con l'eliminazione tcf_ext. Un utente malintenzionato locale può utilizzare questa vulnerabilità per aumentare i suoi privilegi di root.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per eseguire il root sul nodo.

Che cosa devo fare?

Quali vulnerabilità vengono affrontate da questa patch?

Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità use-after-free nel filtro dell’indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere escalation dei privilegi locale.

Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in alcuni casi, il che può portare a una doppia liberazione di una struttura di dati.

In CVE-2023-1281, l'area hash imperfetta può essere aggiornata mentre i pacchetti sono in transito, il che causerà un use-after-free quando tcf_exts_exec() viene chiamato con l'eliminazione tcf_ext. Un utente malintenzionato locale può utilizzare questa vulnerabilità per aumentare i suoi privilegi di root.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per eseguire il root sul nodo.

Questa CVE non influisce su GKE su Bare Metal.

Che cosa devo fare?

Non occorre alcun intervento.

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. Sono interessati i cluster GKE, inclusi i cluster Autopilot, con COS che utilizzano il kernel Linux versione 5.10 fino alla versione 5.10.162. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa quella predefinita per il tuo canale specifico di release.

Quali vulnerabilità vengono affrontate da questa patch?

Vulnerabilità 1 (CVE-2023-0240): una race condition in io_uring può portare a una rottura di un container completo sul nodo. Le versioni del kernel Linux 5.10 sono interessate fino alla 5.10.162.

Vulnerabilità 2 (CVE-2023-23586): un utilizzo dopo la versione gratuita (UAF) in io_uring/time_ns può portare a una interruzione completa del container per eseguire il root sul nodo. Le versioni del kernel Linux 5.10 sono interessate fino alla 5.10.162.

Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. Sono interessati i cluster GKE su VMware con COS che utilizzano il kernel Linux versione 5.10 fino alla versione 5.10.162. I cluster GKE Enterprise che utilizzano immagini Ubuntu non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere queste vulnerabilità:

• 1.12.6
• 1.13.5

Quali vulnerabilità vengono affrontate da questa patch?

Vulnerabilità 1 (CVE-2023-0240): una race condition in io_uring può portare a una separazione completa del container sul nodo. Le versioni del kernel Linux 5.10 sono interessate fino alla 5.10.162.

Vulnerabilità 2 (CVE-2023-23586): un utilizzo dopo la versione gratuita (UAF) in io_uring/time_ns può portare a una separazione completa del container sul nodo. Le versioni del kernel Linux 5.10 sono interessate fino alla 5.10.162.

Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. GKE su AWS non è interessato da questi CVE.

Che cosa devo fare?

Non occorre alcun intervento.

Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. GKE su Azure non è interessato da queste CVE

Che cosa devo fare?

Non occorre alcun intervento.

Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di aumentare i privilegi. GKE su Bare Metal non è interessato da questi CVE.

Che cosa devo fare?

Non occorre alcun intervento.

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei cluster e dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.17-gke.3100
• 1.23.16-gke.200
• 1.24.9-gke.3200

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa quella predefinita per il tuo canale specifico di release.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-4696, è stato rilevato un difetto "use-after-free" in io_uring e ioring_op_splice nel kernel Linux. Questo difetto consente a un utente locale di creare un'escalation dei privilegi locali.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. Sono interessati GKE su VMware in esecuzione v1.12 e v1.13. Non sono interessati GKE su VMware che eseguono la versione 1.14 o successive.

Che cosa devo fare?

Le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE su VMware:

• 1.12.5
• 1.13.5

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-4696, è stato rilevato un difetto "use-after-free" in io_uring e ioring_op_splice nel kernel Linux. Questo difetto consente a un utente locale di creare un'escalation dei privilegi locali.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE su AWS non è interessato da questa vulnerabilità.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE su Azure non è interessato da questa vulnerabilità.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE su Bare Metal non è interessato da questa vulnerabilità.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che possono causare un arresto anomalo. Anche se questa valutazione è stata classificata come Alta nel database NVD, gli endpoint GKE utilizzano boringSSL o una versione precedente di OpenSSL che non è interessata, pertanto la valutazione è stata ridotta a Medium per GKE.

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità:

• 1.25.4-gke.1600
• 1.24.8-gke.401
• 1.23.14-gke.401
• 1.22.16-gke.1300
• 1.21.14-gke.14100

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa la versione predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-3786 e CVE-2022-3602, può essere attivato un superamento del buffer nella verifica del certificato X.509 che può causare un arresto anomalo che comporterà un denial of service. Per essere sfruttata, questa vulnerabilità richiede che una CA abbia firmato un certificato dannoso o che un'applicazione continui la verifica del certificato nonostante la mancata creazione di un percorso verso un emittente attendibile.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Che cosa devo fare?

GKE su VMware non è interessato da questa CVE perché non utilizza una versione interessata di OpenSSL.

Quali vulnerabilità vengono affrontate da questa patch?

Non occorre alcun intervento.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Che cosa devo fare?

GKE su AWS non è interessato da questa CVE in quanto non utilizza una versione interessata di OpenSSL.

Quali vulnerabilità vengono affrontate da questa patch?

Non occorre alcun intervento.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Che cosa devo fare?

GKE su Azure non è interessato da questa CVE in quanto non utilizza una versione interessata di OpenSSL.

Quali vulnerabilità vengono affrontate da questa patch?

Non occorre alcun intervento.

In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che potrebbero causare un arresto anomalo.

Che cosa devo fare?

GKE su Bare Metal non è interessato da questa CVE perché non utilizza una versione interessata di OpenSSL.

Quali vulnerabilità vengono affrontate da questa patch?

Non occorre alcun intervento.

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Nel sottosistema io_uring del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2602) che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva.

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE:

• Container-Optimized OS:
  • 1.22.16-gke.1300 e versioni successive
  • 1.23.14-gke.401 e versioni successive
  • 1.24.7-gke.900 e versioni successive
  • 1.25.4-gke.1600 e versioni successive
• Ubuntu:
• 1.22.15-gke.2500 e versioni successive
• 1.23.13-gke.900 e versioni successive
• 1.24.7-gke.900 e versioni successive
• 1.25.3-gke.800 e versioni successive

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa quella predefinita per il tuo canale specifico di release.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità use-after-free. Un utente malintenzionato locale potrebbe utilizzarla per attivare un servizio denial of service o eseguire un codice arbitrario.

Nel sottosistema io_uring del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2602) che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

Sono interessate le versioni 1.11, 1.12 e 1.13 di GKE su VMware.

Che cosa devo fare?

Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di GKE su VMware contengono codice che corregge questa vulnerabilità:

• 1.13.2
• 1.12.4
• 1.11.5

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità use-after-free. Un utente malintenzionato locale potrebbe utilizzarla per attivare un servizio denial of service o eseguire un codice arbitrario.

Nel sottosistema io_uring del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2602) che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

Che cosa devo fare?

Le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:

• Generazione attuale:
  • 1.22.15-gke.100
  • 1.23.11-gke.300
  • 1.24.5-gke.200
• Generazione precedente:
• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità use-after-free. Un utente malintenzionato locale potrebbe utilizzarla per attivare un servizio denial of service o eseguire un codice arbitrario.

Nel sottosistema io_uring del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2602) che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

Che cosa devo fare?

Le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su Azure:

• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e la garbage collection socket Unix può causare una vulnerabilità use-after-free. Un utente malintenzionato locale potrebbe utilizzarla per attivare un servizio denial of service o eseguire un codice arbitrario.

Nel sottosistema io_uring del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2602) che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario.

GKE su Bare Metal non è interessato da questo CVE in quanto non raggruppa un sistema operativo nella sua distribuzione.

Che cosa devo fare?

Non occorre alcun intervento.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a una separazione completa del container sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot.

I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva.

Aggiornamento 16/12/2022: una versione precedente del bollettino è stata rivista a causa di una regressione della release. Esegui manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.16-gke.1300 e versioni successive
• 1.23.14-gke.401 e versioni successive
• 1.24.7-gke.900 e versioni successive
• 1.25.4-gke.1600 e versioni successive

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE:

• 1.21.14-gke.9500
• 1.24.7-gke.900

Gli aggiornamenti per GKE v1.22, 1.23 e 1.25 saranno presto disponibili. Questo bollettino sulla sicurezza verrà aggiornato non appena sarà disponibile.

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa la versione predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

• Con CVE-2022-2585, una pulizia errata dei timer nel timer della CPU posix consente un exploit senza utilizzo a seconda di come vengono creati ed eliminati i timer.
• Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema e probabilmente portare a un'escalation dei privilegi a livello locale.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a una separazione completa del container sul nodo.

Sono interessate le versioni 1.13, 1.12 e 1.11 di GKE su VMware.

Che cosa devo fare?

Aggiornamento 16/12/2022: le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e degli utenti a una delle seguenti versioni di GKE su VMware:

• 1.13.2
• 1.12.4
• 1.11.6

• Nota: a breve verranno rilasciate versioni di GKE su VMware che contengono patch Container-Optimized OS. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su VMware saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

• Con CVE-2022-2585, una pulizia errata dei timer nel timer della CPU posix consente un exploit senza utilizzo a seconda di come vengono creati ed eliminati i timer.
• Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema e probabilmente portare a un'escalation dei privilegi a livello locale.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a una separazione completa del container sul nodo.

Le seguenti versioni di Kubernetes su AWS potrebbero essere interessate:

• 1.23: versioni precedenti alla 1.23.9-gke.800. Le versioni secondarie più recenti non sono interessate
• 1.22: versioni precedenti alla 1.22.12-gke.1100. Le versioni secondarie più recenti non sono interessate

Kubernetes V1.24 non è interessato.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di AWS Kubernetes:

• 1.23: una versione successiva alla v1.23.9-gke.800
• 1.22: una versione successiva alla 1.22.12-gke-1100

Quali vulnerabilità vengono affrontate?

Con CVE-2022-2585, una pulizia errata dei timer nel timer della CPU posix consente un exploit senza utilizzo a seconda di come vengono creati ed eliminati i timer.

Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema e probabilmente portare a un'escalation dei privilegi a livello locale.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a una separazione completa del container sul nodo.

Le seguenti versioni di Kubernetes su Azure potrebbero essere interessate:

• 1.23: versioni precedenti alla 1.23.9-gke.800. Le versioni secondarie più recenti non sono interessate.
• 1.22: versioni precedenti alla 1.22.12-gke.1100. Le versioni secondarie più recenti non sono interessate.

Kubernetes V1.24 non è interessato.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di Azure Kubernetes:

• 1.23: una versione successiva alla v1.23.9-gke.800
• 1.22: una versione successiva alla 1.22.12-gke-1100

Quali vulnerabilità vengono affrontate?

Con CVE-2022-2585, una pulizia errata dei timer nel timer della CPU posix consente un exploit senza utilizzo a seconda di come vengono creati ed eliminati i timer.

Con CVE-2022-2588, è stato trovato un difetto use-after-free in route4_change nel kernel Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema e probabilmente portare a un'escalation dei privilegi a livello locale.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a una separazione completa del container sul nodo.

GKE su Bare Metal non è interessato da questo CVE perché non raggruppa un sistema operativo nella sua distribuzione.

Che cosa devo fare?

Non occorre alcun intervento.

In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, che viene utilizzata in Anthos Service Mesh che consente a un utente malintenzionato di causare l'arresto anomalo del piano di controllo.

Che cosa devo fare?

Google Kubernetes Engine (GKE) non viene fornito con Istio e non è interessato da questa vulnerabilità. Tuttavia, se hai installato separatamente Anthos Service Mesh o Istio sul tuo cluster GKE, consulta GCP-2022-020, il bollettino sulla sicurezza di Anthos Service Mesh su questo CVE, per saperne di più.

In Istio è stata scoperta una vulnerabilità di sicurezza CVE-2022-39278 che viene utilizzata in Anthos Service Mesh in GKE su VMware e consente a un utente malintenzionato di causare l'arresto anomalo del piano di controllo Istio.

Che cosa devo fare?

Le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE su VMware:

• 1.11.4
• 1.12.3
• 1.13.1

Quali vulnerabilità vengono affrontate da questa patch?

Con la vulnerabilità CVE-2022-39278, il piano di controllo Istio, istiod, è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato di inviare un messaggio creato appositamente che determina l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Una vulnerabilità di sicurezza, CVE-2022-39278, è stata scoperta in Istio, che viene utilizzato in Anthos Service Mesh, che consente a un utente malintenzionato di causare l'arresto anomalo del piano di controllo.

Che cosa devo fare?

GKE su AWS non è interessato da questa vulnerabilità e non è richiesta alcuna azione da parte tua.

Una vulnerabilità di sicurezza, CVE-2022-39278, è stata scoperta in Istio, che viene utilizzato in Anthos Service Mesh, che consente a un utente malintenzionato di causare l'arresto anomalo del piano di controllo.

Che cosa devo fare?

GKE su Azure non è interessato da questa vulnerabilità e non è richiesta alcuna azione da parte tua.

In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, che viene utilizzata in Anthos Service Mesh in GKE su Bare Metal e consente a un utente malintenzionato di causare l'arresto anomalo del piano di controllo Istio.

Che cosa devo fare?

Le seguenti versioni di GKE su Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di GKE su Bare Metal:

• 1.11.7
• 1.12.4
• 1.13.1

Quali vulnerabilità vengono affrontate da questa patch?

Con la vulnerabilità CVE-2022-39278, il piano di controllo Istio, istiod, è vulnerabile a un errore di elaborazione delle richieste, consentendo a un utente malintenzionato di inviare un messaggio creato appositamente che determina l'arresto anomalo del piano di controllo quando il webhook di convalida per un cluster viene esposto pubblicamente. Questo endpoint viene gestito tramite la porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'utente malintenzionato.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può portare all'escalation dei privilegi locali. Sono interessati i cluster Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24, inclusi i cluster Autopilot, che utilizzano Container-Optimized OS versioni 93 e 97 del sistema operativo ottimizzato. Le altre versioni di GKE supportate non sono interessate. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 14/12/2022: una versione precedente del bollettino è stata rivista a causa di una regressione della release. Esegui manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.15-gke.2500 e versioni successive
• 1.23.13-gke.900 e versioni successive
• 1.24.7-gke.900 e versioni successive

Le seguenti versioni di GKE che utilizzano le versioni 93 e 97 Container-Optimized OS sono state aggiornate con codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se hai abilitato gli upgrade automatici dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.15-gke.2300 e versioni successive
• 1.23.13-gke.700 e versioni successive
• 1.24.7-gke.700 e versioni successive

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questa funzionalità consente di proteggere i nodi finché la nuova versione non diventa la versione predefinita per il canale specifico per la release.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per scopi di denial of service (arresto anomalo di sistema) o per eseguire codice arbitrario.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può portare all'escalation dei privilegi locali.

Che cosa devo fare?

Aggiornamento 14/12/2022: le seguenti versioni di GKE su VMware per Ubuntu sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su VMware:

• 1.13.1 e versioni successive
• 1.12.3 e versioni successive
• 1.11.4 e versioni successive

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per scopi di denial of service (arresto anomalo di sistema) o per eseguire codice arbitrario.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di passare al privilegio di esecuzione del sistema.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. GKE su AWS non utilizza le versioni interessate del kernel Linux.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per scopi di denial of service (arresto anomalo di sistema) o per eseguire codice arbitrario.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di passare al privilegio di esecuzione del sistema.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. GKE su Azure non utilizza le versioni interessate del kernel Linux.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. Esiste un potenziale danneggiamento della memoria a causa di una vulnerabilità UAF (Use-After-Free). Un utente malintenzionato locale potrebbe utilizzare questo danneggiamento della memoria per scopi di denial of service (arresto anomalo di sistema) o per eseguire codice arbitrario.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può portare all'escalation dei privilegi locali.

Che cosa devo fare?

• Non è richiesta alcuna azione da parte tua. GKE su Bare Metal non è interessato da questo CVE perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere la suddivisione completa dei container per eseguire il root sul nodo.

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster di Google Kubernetes Engine (GKE) v1.21, inclusi i cluster Autopilot, che utilizzano Container-Optimized OS versione 89. Le versioni successive di GKE non sono interessate. Sono interessati tutti i cluster Linux con Ubuntu. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva.

Aggiornamento 15/12/2022: la versione 1.21.14-gke.9400 è in attesa di implementazione e potrebbe essere sostituita da un numero di versione più recente. Aggiorneremo questo documento quando la nuova versione sarà disponibile.

Le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se hai abilitato gli upgrade automatici dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE:

• Container-Optimized OS:
  • 1.21.14-gke.7100 e versioni successive
• Ubuntu:
• 1.21.14-gke.9400 e versioni successive
• 1.22.15-gke.2400 e versioni successive
• 1.23.13-gke.800 e versioni successive
• 1.24.7-gke.800 e versioni successive
• 1.25.3-gke.700 e versioni successive

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questa funzionalità consente di proteggere i nodi finché la nuova versione non diventa la versione predefinita per il canale specifico per la release.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza della gestione di POLLFREE può portare a exploit UAF (Use-After-Free) che possono essere utilizzati per l'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere la suddivisione completa dei container per eseguire il root sul nodo.

Che cosa devo fare?

• Le versioni di GKE su VMware con Container-Optimized OS non sono interessate.

Aggiornamento 21/11/2022: le seguenti versioni di GKE su VMware per Ubuntu sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su VMware:

• 1.12.3 e versioni successive
• 1.13.1 e versioni successive
• 1.11.5 e versioni successive

A breve verranno rilasciate versioni di GKE su VMware che contengono patch di Ubuntu. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su VMware saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza della gestione di POLLFREE può portare a exploit UAF (Use-After-Free) che possono essere utilizzati per l'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire la suddivisione completa dei container per eseguire il root sul nodo.

Che cosa devo fare?

Aggiornamento 21/11/2022: le seguenti versioni attuali e precedenti di generazione di GKE su AWS sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

• 1.22.15-gke.1400
• 1.23.12-gke.1400
• 1.24.6-gke.1300

A breve verranno rilasciate versioni di GKE su AWS che contengono patch di Ubuntu. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza della gestione di POLLFREE può portare a exploit UAF (Use-After-Free) che possono essere utilizzati per l'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire la suddivisione completa dei container per eseguire il root sul nodo.

Che cosa devo fare?

Aggiornamento 21/11/2022: le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su Azure:

• 1.21.14-gke.7100
• 1.22.15-gke.100
• 1.23.11-gke.300
• 1.24.5-gke.200

A breve verranno rilasciate versioni di GKE su Azure che contengono patch di Ubuntu. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancanza della gestione di POLLFREE può portare a exploit UAF (Use-After-Free) che possono essere utilizzati per l'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-3176, che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere la suddivisione completa dei container per eseguire il root sul nodo.

Che cosa devo fare?

Non occorre alcun intervento. GKE su Bare Metal non è interessato da questo CVE perché non raggruppa un sistema operativo nella sua distribuzione.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un'analisi completa dei container di eseguire il rooting sul nodo.

Dettagli tecnici

Aggiornamento 21/12/2023: il bollettino originale affermava che i cluster Autopilot sono interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

Sono interessati i cluster GKE, inclusi i cluster Autopilot, con Container-Optimized OS (COS) che utilizza il kernel Linux versione 5.10. I cluster GKE che utilizzano immagini Ubuntu o che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Esegui l'upgrade dei cluster GKE a una versione che include la correzione. Le immagini dei nodi Linux per COS sono state aggiornate insieme alle versioni GKE che utilizzano queste versioni COS.

Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:

Versioni COS

• 1.22.12-gke.300

• 1.23.8-gke.1900

• 1.24.2-gke.1900

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-2327

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un'analisi completa dei container di eseguire il rooting sul nodo.

I cluster con un'immagine Container Optimized OS (COS) che utilizzano le versioni 1.10, 1.11 e 1.12 di GKE su VMware.

Che cosa devo fare?

Aggiornamento 14/09/2022: le seguenti versioni di GKE su VMware contengono codice che corregge questa vulnerabilità.

• 1.10.6 o versioni successive
• 1.11.3 o versioni successive
• 1.12.1 o versioni successive

A breve verranno rilasciate versioni di GKE su VMware che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su VMware saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-2327

Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring, in cui a varie richieste mancano tipi di elementi (flag). Utilizzare queste richieste senza i tipi di elementi appropriati specificati può causare la radice dell'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un'analisi completa dei container di eseguire il rooting sul nodo.

Che cosa devo fare?

Aggiornamento 14/09/2022: le seguenti versioni attuali e precedenti di generazione di GKE su AWS sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:

Generazione attuale

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

Generazione precedente

• 1.23.8-gke.2000
• 1.22.12-gke.300
• 1.21.14-gke.2100

A breve verranno rilasciate versioni di GKE su AWS che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-2327

Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring, in cui a varie richieste mancano tipi di elementi (flag). Utilizzare queste richieste senza i tipi di elementi appropriati specificati può causare la radice dell'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un'analisi completa dei container di eseguire il rooting sul nodo.

Che cosa devo fare?

Aggiornamento del 14/09/2022: le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su Azure:

• 1.23.8-gke.1700
• 1.22.12-gke.200
• 1.21.14-gke.2100

A breve verranno rilasciate versioni di GKE su Azure che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-2327

Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring, in cui a varie richieste mancano tipi di elementi (flag). Utilizzare queste richieste senza i tipi di elementi appropriati specificati può causare la radice dell'escalation dei privilegi.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un'analisi completa dei container di eseguire il rooting sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE in quanto non raggruppa un sistema operativo nella sua distribuzione.

Aggiornamento 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il rooting sul nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni di GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per Container-Optimized OS per le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni future di GKE:

• 1.22.10-gke.600
• 1.23.7-gke.1400
• 1.24.1-gke.1400

Una recente funzionalità relativa ai canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa versione diventi la versione predefinita nel canale di rilascio selezionato.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-1786, è stato trovato un difetto use-after-free nel sottosistema io_uring del kernel Linux. Se un utente configura una suoneria con IORING_CONFIGURA_IOPOLL con più di un'attività che completa i contenuti inviati sulla ring, un utente locale può arrestarsi in modo anomalo o aumentare i propri privilegi sul sistema.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il rooting sul nodo.

Che cosa devo fare?

Aggiornamento del 21/07/2022: le seguenti versioni di GKE su VMware contengono codice che corregge questa vulnerabilità.

COS

• 1.10.5 o versioni successive
• 1.11.2 o versioni successive
• 1.12.0 o versioni successive

Ubuntu

Non sono necessarie ulteriori azioni. GKE su VMware non utilizza le versioni interessate del kernel Linux.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il rooting sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su AWS non utilizza le versioni interessate del kernel Linux.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il rooting sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Azure non utilizza le versioni interessate del kernel Linux.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il rooting sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE in quanto non raggruppa un sistema operativo nella sua distribuzione.

Aggiornamento del 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116.

Aggiornamento del 29/07/2022: i pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità.

Nel kernel Linux sono state scoperte tre nuove vulnerabilità legate al danneggiamento della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il root sul nodo. Tutti i cluster Linux (Container-Optimized OS e Ubuntu) sono interessati.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per Container-Optimized OS e Ubuntu per le seguenti versioni di GKE sono state aggiornate con codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE:

• Container-Optimized OS:
  • 1.19.16-gke.13800
  • 1.20.15-gke.8000
  • 1.21.12-gke.1500
  • 1.22.9-gke.1300
  • 1.23.6-gke.1500
  • 1.24.1-gke.1400
• Ubuntu:
  • 1.20.15-gke.9600
  • 1.21.13-gke.900
  • 1.22.10-gke.600
  • 1.23.7-gke.1400
  • 1.24.1-gke.1400

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa versione diventi la versione predefinita nel canale di rilascio selezionato.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un use-after-free a causa di una race condition in timeout io_uring.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi a root.

Aggiornamento 29/07/2022: le seguenti versioni di GKE su VMware contengono codice che corregge queste vulnerabilità.

• 1.9.7 o versioni successive
• 1.10.5 o versioni successive
• 1.11.2 o versioni successive
• 1.12.0 o versioni successive

Nel kernel Linux sono state scoperte tre nuove vulnerabilità legate al danneggiamento della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il root sul nodo. Queste vulnerabilità interessano GKE su VMware v1.9 e versioni successive per le immagini Ubuntu e Container-Optimized OS.

Che cosa devo fare?

A breve verranno rilasciate versioni di GKE su VMware che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su VMware saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un use-after-free a causa di una race condition in timeout io_uring.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi a root.

Aggiornamento 29/07/2022: Aggiornamento: le seguenti versioni attuali e precedenti di generazione di GKE su AWS sono state aggiornate con codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:

Generazione attuale:

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

• 1.23.7-gke.1500
• 1.22.10-gke.1500
• 1.21.13-gke.1600

Nel kernel Linux sono state scoperte tre nuove vulnerabilità legate al danneggiamento della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il root sul nodo. Queste vulnerabilità interessano tutte le versioni di GKE su AWS.

Che cosa devo fare?

A breve verranno rilasciate versioni di GKE su AWS che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un use-after-free a causa di una race condition in timeout io_uring.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi a root.

Aggiornamento 29/07/2022: aggiornamento: le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su Azure:

• 1.23.7-gke.1300
• 1.22.10-gke.1500
• 1.21.11-gke.1900

Nel kernel Linux sono state scoperte tre nuove vulnerabilità legate al danneggiamento della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il root sul nodo. Queste vulnerabilità interessano tutte le versioni di GKE su Azure.

Che cosa devo fare?

A breve verranno rilasciate versioni di GKE su Azure che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download.

Quali vulnerabilità vengono affrontate da questa patch?

Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 ha un use-after-free a causa di una race condition in timeout io_uring.

CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un aggressore locale può causare il danneggiamento della memoria in io_uring o net/sched nel kernel Linux per aumentare i privilegi a root.

Nel kernel Linux sono state scoperte tre nuove vulnerabilità legate al danneggiamento della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un'analisi completa dei container per eseguire il root sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questa vulnerabilità, in quanto non include un sistema operativo nella sua distribuzione.

Aggiornamento 22/11/2022: i cluster GKE Autopilot e i carichi di lavoro in esecuzione in GKE Sandbox non sono interessati da queste vulnerabilità.

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di questi può portare un aggressore locale in grado di effettuare una container breakout, escalation dei privilegi sull’host o entrambe le cose. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un utente malintenzionato può sfruttare use-after-free in tc_new_tfilter(), consentendo a un aggressore locale nel container di aumentare i privilegi per eseguire il root sul nodo.

In CVE-2022-27666, l'overflow del buffer in esp/esp6_output_head consente a un utente malintenzionato locale nel container di aumentare i privilegi per il root sul nodo.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE successive:

• 1.19.16-gke.11000 e versioni successive
• 1.20.15-gke.5200 e versioni successive
• 1.21.11-gke.1100 e versioni successive
• 1.22.8-gke.200 e versioni successive
• 1.23.5-gke.1500 e versioni successive

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-1055
• CVE-2022-27666

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di questi può portare un aggressore locale in grado di effettuare una container breakout, escalation dei privilegi sull’host o entrambe le cose. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un utente malintenzionato può sfruttare use-after-free in tc_new_tfilter(), consentendo a un aggressore locale nel container di aumentare i privilegi per eseguire il root sul nodo.

In CVE-2022-27666, l'overflow del buffer in esp/esp6_output_head consente a un utente malintenzionato locale nel container di aumentare i privilegi per il root sul nodo.

Che cosa devo fare?

Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di GKE su VMware o più recenti contengono la correzione per questa vulnerabilità:

• 1.9.6 (in arrivo)
• 1.10.3
• 1.11.0 (disponibile a breve)

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-1055
• CVE-2022-27666

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di questi può portare un aggressore locale in grado di effettuare una container breakout, escalation dei privilegi sull’host o entrambe le cose. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un utente malintenzionato può sfruttare use-after-free in tc_new_tfilter(), consentendo a un aggressore locale nel container di aumentare i privilegi per eseguire il root sul nodo.

In CVE-2022-27666, l'overflow del buffer in esp/esp6_output_head consente a un utente malintenzionato locale nel container di aumentare i privilegi per il root sul nodo.

Che cosa devo fare?

Aggiornamento 12/05/2022: le seguenti versioni attuali e precedenti di generazione di GKE su AWS sono state aggiornate con codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

• 1.20.15-gke.5200
• 1.21.11-gke.1100
• 1.22.8-gke.1300

Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato non appena sarà disponibile.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-1055
• CVE-2022-27666

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di questi può portare un aggressore locale in grado di effettuare una container breakout, escalation dei privilegi sull’host o entrambe le cose. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un utente malintenzionato può sfruttare use-after-free in tc_new_tfilter(), consentendo a un aggressore locale nel container di aumentare i privilegi per eseguire il root sul nodo.

In CVE-2022-27666, l'overflow del buffer in esp/esp6_output_head consente a un utente malintenzionato locale nel container di aumentare i privilegi per il root sul nodo.

Che cosa devo fare?

Aggiornamento del 12/05/2022: le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su Azure:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato non appena sarà disponibile.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-1055
• CVE-2022-27666

Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno di questi può portare un aggressore locale in grado di effettuare una container breakout, escalation dei privilegi sull’host o entrambe le cose. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu).

Dettagli tecnici

In CVE-2022-1055, un utente malintenzionato può sfruttare use-after-free in tc_new_tfilter(), consentendo a un aggressore locale nel container di aumentare i privilegi per eseguire il root sul nodo.

In CVE-2022-27666, l'overflow del buffer in esp/esp6_output_head consente a un utente malintenzionato locale nel container di aumentare i privilegi per il root sul nodo.

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE perché non include Linux nel suo pacchetto. Devi assicurarti che le immagini dei nodi che utilizzi siano aggiornate alle versioni contenenti la correzione per CVE-2022-1055 e CVE-2022-27666.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2022-1055
• CVE-2022-27666

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a directory e file arbitrari sull'host.

Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu) che utilizzano containerd per impostazione predefinita. Sono interessati tutti i nodi GKE, Autopilot e di GKE Sandbox.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei nodi a una delle seguenti versioni di GKE:

• 1.19.16-gke.9400
• 1.20.15-gke.3600
• 1.21.10-gke.1500
• 1.22.7-gke.1500
• 1.23.4-gke.1500

Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa quella predefinita per il tuo canale di rilascio specifico.

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a directory e file arbitrari sull'host.

Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i cluster GKE su VMware con stackdriver abilitato, che utilizza containerd. Sono interessate le versioni 1.8, 1.9 e 1.10 di GKE su VMware

Che cosa devo fare?

Aggiornamento 22/04/2022: le seguenti versioni di GKE su VMware contengono codice che corregge questa vulnerabilità.

• 1.9.5 o versioni successive
• 1.10.3 o versioni successive
• 1.11.0 o versioni successive

Le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su VMware:

• 1.8.8 o versioni successive
• 1.9.5 o versioni successive
• 1.10.2 o versioni successive

Questa CVE può essere mitigata impostando IgnoraImageDefiniscisVolumes su true.

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a directory e file arbitrari sull'host.

Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Sono interessate tutte le versioni di GKE su AWS.

Che cosa devo fare?

Le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS.

GKE su AWS (generazione attuale)

• Versione 1.22: 1.22.8-gke.200
• Versione 1.21: 1.21.11-gke.100

GKE su AWS (generazione precedente)

• Versione 1.22: 1.22.8-gke.300
• Versione 1.21: 1.21.11-gke.100
• Versione 1.20: 1.20.15-gke.2200

Questa CVE può essere mitigata impostando IgnoraImageDefiniscisVolumes su true.

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a directory e file arbitrari sull'host.

Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Sono interessate tutte le versioni di GKE su Azure.

Che cosa devo fare?

Le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi come segue:

• Versione 1.22: 1.22.8-gke.200
• Versione 1.21: 1.21.11-gke.100

Questa CVE può essere mitigata impostando IgnoraImageDefiniscisVolumes su true.

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume delle immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a directory e file arbitrari sull'host.

Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione del container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità riguarda tutti i prodotti Google Distributed Cloud Virtual for Bare Metal che utilizzano containerd. Sono interessate le versioni Google Distributed Cloud Virtual for Bare Metal 1.8, 1.9 e 1.10

Che cosa devo fare?

Aggiornamento 22/04/2022: le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal contengono codice che corregge questa vulnerabilità.

• 1.8.9 o versioni successive
• 1.9.6 o versioni successive
• 1.10.3 o versioni successive
• 1.11.0 o versioni successive

Le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di Google Distributed Cloud Virtual for Bare Metal:

• 1.8.8 o versioni successive
• 1.9.5 o versioni successive
• 1.10.2 o versioni successive

Questa CVE può essere mitigata impostando IgnoraImageDefiniscisVolumes su true.

Aggiornamento 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità.

Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi del container a root. Questa vulnerabilità interessa tutte le versioni dei pool di nodi GKE v1.22 e successive che utilizzano immagini Container-Optimized OS (Container-Optimized OS 93 e versioni successive). I pool di nodi GKE che utilizzano il sistema operativo Ubuntu non sono interessati.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE:

• 1.22.7-gke.1500 e versioni successive
• 1.23.4-gke.1600 e versioni successive

Una funzionalità recente dei canali di rilascio ti consente di applicare una versione patch di altri canali di rilascio senza dover annullare l'iscrizione a un determinato canale. In questo modo puoi proteggere i nodi finché la nuova versione non diventa la versione predefinita per il tuo canale specifico di rilascio.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il membro dei "flags" della nuova struttura del buffer della barra verticale non era correttamente inizializzato nel kernel Linux. Un aggressore locale sprovvisto di privilegi può utilizzare questo difetto per scrivere sulle pagine memorizzate nella cache supportate da file di sola lettura e aumentare i propri privilegi.

Le nuove versioni di Container-Optimized OS che risolvono questo problema sono state integrate nelle versioni aggiornate dei pool di nodi di GKE.

Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi a root. Questa vulnerabilità interessa GKE su VMware v1.10 per le immagini Container-Optimized OS. Attualmente, GKE su VMware con Ubuntu è installato sulla versione 5.4 del kernel e non è vulnerabile a questo attacco.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente alla seguente versione di GKE su VMware:

• 1.10.3

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il membro dei "flags" della nuova struttura del buffer della barra verticale non era correttamente inizializzato nel kernel Linux. Un aggressore locale sprovvisto di privilegi può utilizzare questo difetto per scrivere sulle pagine memorizzate nella cache supportate da file di sola lettura e aumentare i propri privilegi.

Le nuove versioni di Container-Optimized OS che risolvono questo problema sono state integrate nelle versioni aggiornate di GKE su VMware.

Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi a root.

Questa vulnerabilità interessa i cluster gestiti di GKE su AWS v1.21 e i cluster in esecuzione su GKE su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS sono state aggiornate con codice per correggere questa vulnerabilità.

Per GKE gestito su AWS, ti consigliamo di eseguire l'upgrade dei cluster utente e del pool di nodi a una delle seguenti versioni:

• 1.21.11-gke.100

Per GKE k-lite su AWS, ti consigliamo di eseguire l'upgrade degli oggetti AWSManagementService, AWSCluster e AWSNodePool alla versione seguente:

• 1.21.11-gke.100
• 1.20.15-gke.2200

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il membro dei "flags" della nuova struttura del buffer della barra verticale non era correttamente inizializzato nel kernel Linux. Un aggressore locale sprovvisto di privilegi può utilizzare questo difetto per scrivere sulle pagine memorizzate nella cache supportate da file di sola lettura e aumentare i propri privilegi.

Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi a root. Questa vulnerabilità interessa i cluster gestiti di GKE su Azure v1.21 che utilizzano Ubuntu.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster utente e del pool di nodi alla versione seguente:

• 1.21.11-gke.100

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il membro dei "flags" della nuova struttura del buffer della barra verticale non era correttamente inizializzato nel kernel Linux. Un aggressore locale sprovvisto di privilegi può utilizzare questo difetto per scrivere sulle pagine memorizzate nella cache supportate da file di sola lettura e aumentare i propri privilegi.

Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi a root.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE perché non include Linux nel suo pacchetto. Devi assicurarti che le immagini dei nodi che utilizzi siano aggiornate a versioni contenenti la correzione per CVE-2022-0847.

Aggiornamento 11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione SMT (Simultaneous Multi-Threading). SMT doveva essere disabilitata, ma è stata abilitata nelle versioni elencate.

Se hai abilitato manualmente la SMT per un pool di nodi con sandbox, questa rimarrà abilitata manualmente nonostante il problema.

Nelle immagini GKE Sandbox è presente un errore di configurazione con Simultaneous Multi-Threading (SMT), anche noto come Hyper-threading. L'errata configurazione lascia i nodi potenzialmente esposti ad attacchi tramite canale laterale come Microarchitectural Data Sampling (MDS) (per saperne di più, consulta la documentazione di GKE Sandbox). Non è consigliabile utilizzare le seguenti versioni interessate:

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Se hai abilitato manualmente SMT per un pool di nodi, questo problema non interesserà i nodi con sandbox.

Che cosa devo fare?

Esegui l'upgrade dei nodi a una delle versioni seguenti:

• 1.22.6-gke.1500 e versioni successive
• 1.23.3-gke.1100 e versioni successive

Quale vulnerabilità viene affrontata da questa patch?

La funzionalità SMT è disabilitata per impostazione predefinita sui nodi di GKE Sandbox, con conseguente mitigazione degli attacchi side-channel.

Aggiornamento 15/03/2022: sono state aggiunte guide alla protezione avanzata per GKE su AWS e GKE su Azure. È stata aggiunta una sezione sulla persistenza utilizzando i webhook.

Potrebbero essere stati utilizzati alcuni percorsi imprevisti per accedere alla VM del nodo sui cluster GKE Autopilot per riassegnare i privilegi nel cluster. Questi problemi sono stati risolti e non sono necessarie ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program.

Gli utenti dei cluster GKE Standard e GKE possono facoltativamente applicare un criterio di protezione simile a quello descritto di seguito.

Dettagli tecnici

Accesso all'host tramite esenzioni dei criteri di terze parti

Per consentire a Google Cloud di offrire una gestione completa dei nodi e uno SLA a livello di pod, GKE Autopilot limita alcune primitive Kubernetes con privilegi elevati per impedire ai carichi di lavoro di avere accesso di basso livello alla VM del nodo. Per impostare l'accesso nel contesto: GKE Standard offre l'accesso completo al computing sottostante, Autopilot presenta un accesso limitato e Cloud Run non presenta alcun accesso.

Autopilot allenta alcune di queste limitazioni per un elenco predefinito di strumenti di terze parti al fine di consentire ai clienti di eseguire questi strumenti su Autopilot senza modifiche. Utilizzando i privilegi per creare pod con montaggi dei percorsi host, il ricercatore è stato in grado di eseguire un container con privilegi in un pod simile a uno di questi strumenti di terze parti inclusi nella lista consentita per accedere all'host.

La capacità di pianificare i pod in questo modo è prevista su GKE Standard, ma non su GKE Autopilot, poiché ha ignorato le restrizioni di accesso all'host utilizzate per abilitare lo SLA descritto in precedenza.

Questo problema è stato risolto con il rafforzamento della specifica dei pod di schede consentite di terze parti.

Escalation dei privilegi da root-on-node

Oltre all'accesso all'host, i pod stackdriver-metadata-agent-cluster-level e metrics-server sono stati identificati come con privilegi elevati. Dopo aver ottenuto l'accesso al nodo a livello root, questi servizi potrebbero essere utilizzati per ottenere un ulteriore controllo sul cluster.

Abbiamo deprecato e rimosso stackdriver-metadata-agent sia per GKE Standard che per Autopilot. Questo componente è ancora in uso su GKE su VMware e Google Distributed Cloud Virtual for Bare Metal.

Come misura di protezione del sistema per prevenire questo tipo di attacco in futuro, applicheremo un vincolo Autopilot in una release futura che impedisce gli aggiornamenti all'account di servizio di vari oggetti nello spazio dei nomi kube-system. Abbiamo sviluppato un criterio Gatekeeper per applicare una protezione simile ai cluster GKE Standard e GKE per impedire l'automodifica dei carichi di lavoro con privilegi. Questo criterio viene applicato automaticamente per i cluster Autopilot. Per istruzioni, consulta le seguenti guide per la protezione:

• GKE Standard
• GKE su VMware
• Google Distributed Cloud Virtual for Bare Metal
• Aggiornamento 15/03/2022: GKE su AWS
• Aggiornamento del 15/03/2022: GKE su Azure

Aggiunta 15/03/2022: persistenza con webhook mutanti

Nel report sono stati utilizzati webhook di modifica per stabilire un punto d'appoggio con privilegi nel cluster dopo la compromissione. Si tratta di parti standard dell'API Kubernetes create dagli amministratori del cluster e rese visibili agli amministratori quando Autopilot ha aggiunto il supporto per i webhook definiti dal cliente.

Account di servizio con privilegi nello spazio dei nomi predefinito

L'applicazione dei criteri Autopilot in precedenza ha inserito nella lista consentita due account di servizio nello spazio dei nomi predefinito: csi-attacher e otelsvc per concedere privilegi speciali agli account di servizio. Un utente malintenzionato con privilegi elevati, incluse le autorizzazioni per creare oggetti ClusterRoleBinding e con accesso per creare pod nello spazio dei nomi predefinito, potrebbe usare questi nomi di account di servizio per accedere a questi privilegi aggiuntivi. Questi servizi sono stati spostati nello spazio dei nomi kube-system per ottenere la protezione del criterio Autopilot esistente. I cluster GKE Standard e GKE non sono interessati.

Che cosa devo fare?

I criteri di tutti i cluster GKE Autopilot sono stati aggiornati in modo da rimuovere l'accesso non intenzionale all'host e non sono necessarie ulteriori azioni.

Nelle prossime settimane verrà applicato un ulteriore rafforzamento dei criteri ad Autopilot come protezione secondaria. Non è richiesta alcuna azione da parte tua.

I cluster GKE Standard e GKE non subiranno modifiche perché gli utenti hanno già accesso all'host. Come misura di protezione del sistema, gli utenti dei cluster GKE Standard e GKE possono applicare una protezione simile con un criterio di Gatekeeper che impedisce l'automodifica dei carichi di lavoro con privilegi. Per istruzioni, consulta le seguenti guide per la protezione:

• GKE Standard
• GKE su VMware
• Google Distributed Cloud Virtual for Bare Metal
• Aggiornamento 15/03/2022: GKE su AWS
• Aggiornamento del 15/03/2022: GKE su Azure

Che cosa devo fare?

• Se utilizzi Anthos Service Mesh 1.12, esegui l'upgrade alla versione v1.12.4-asm.0.
• Se utilizzi Anthos Service Mesh 1.11, esegui l'upgrade a v1.11.7-asm.1.
• Se utilizzi Anthos Service Mesh 1.10, esegui l'upgrade a v1.10.6-asm.1.

• Se utilizzi Istio-on-GKE 1.6, esegui l'upgrade alla versione 1.6.14-gke.8.
• Se utilizzi Istio-on-GKE 1.4.11, esegui l'upgrade alla v1.4.11-gke.4.
• Se utilizzi Istio-on-GKE 1.4.10, esegui l'upgrade alla v1.4.10-gke.23.
• Se utilizzi GKE 1.22 o versioni successive, utilizza Istio GKE 1.4.10. Altrimenti, usa Istio-on-GKE 1.4.11.

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2021-43824 (punteggio CVSS 6.5, Medio): potenziale deriferimento del puntatore nullo quando si utilizza la corrispondenza Safe_regex del filtro JWT.
  Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, l'utilizzo dell'espressione regolare del filtro JWT potrebbe interessarti.
• CVE-2021-43825 (punteggio CVSS 6.1, medio): senza costi da utilizzare quando i filtri di risposta aumentano i dati di risposta e i dati maggiori superano i limiti di buffer downstream.
  Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, l'utilizzo di un filtro di decompressione potrebbe interessarti.
• CVE-2021-43826 (punteggio CVSS 6.1, medio): senza utilizzo dopo il tunneling di TCP su HTTP, se il downstream si disconnette durante la creazione di una connessione a monte.
  Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, l'utilizzo di un filtro di tunneling potrebbe avere delle conseguenze.
• CVE-2022-21654 (punteggio CVSS 7.3, alto): una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.
  Nota: tutti i servizi ASM/Istio-on-GKE che utilizzano mTLS sono interessati da questo CVE.
• CVE-2022-21655 (punteggio CVSS 7.5, alto): gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta.
  Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, l'utilizzo di un filtro a risposta diretta potrebbe interessarti.
• CVE-2022-23606 (punteggio CVSS 4.4, medio): esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service.
  Nota: questa CVE influisce su ASM 1.11 e versioni successive. ASM 1.10 e tutti Istio su GKE non sono interessati da questo CVE.
• CVE-2022-21657 (punteggio CVSS 3.1, basso): Envoy alla versione 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa dell'esclusione X.509 Extended Key Usage and Trust Purposes bypass.
• CVE-2022-21656 (punteggio CVSS 3.1, basso): Envoy alla versione 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa dell'esclusione della corrispondenza di subjectAltName (e del valore di nameConstraints) X.509.

Istio ha rilasciato di recente una correzione alla vulnerabilità di sicurezza. Anthos on VMware è interessato perché Istio viene utilizzato per il traffico in entrata. Di seguito sono elencati i CVE Istio che stiamo correggendo. Aggiorneremo questo bollettino con versioni specifiche non appena saranno disponibili:

28-04-2022 Addition: Cosa devo fare?

Le seguenti versioni di GKE su VMware risolvono queste vulnerabilità:

• 1.9.5
• 1.10.3
• 1.11.0

Quali vulnerabilità vengono affrontate da questa patch?

• CVE-2021-43824 (punteggio CVSS 6.5, Medio): potenziale deriferimento del puntatore nullo quando si utilizza la corrispondenza Safe_regex del filtro JWT.
  Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, l'utilizzo dell'espressione regolare del filtro JWT potrebbe interessarti.
• CVE-2021-43825 (punteggio CVSS 6.1, medio): senza costi da utilizzare quando i filtri di risposta aumentano i dati di risposta e i dati maggiori superano i limiti di buffer downstream.
  Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, l'utilizzo di un filtro di decompressione potrebbe interessarti.
• CVE-2021-43826 (punteggio CVSS 6.1, medio): senza utilizzo dopo il tunneling di TCP su HTTP, se il downstream si disconnette durante la creazione di una connessione a monte.
  Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, l'utilizzo di un filtro di tunneling potrebbe avere delle conseguenze.
• CVE-2022-21654 (punteggio CVSS 7.3, alto): una gestione errata della configurazione consente il riutilizzo della sessione mTLS senza riconvalida dopo la modifica delle impostazioni di convalida.
  Nota: tutti i servizi ASM/Istio-on-GKE che utilizzano mTLS sono interessati da questo CVE.
• CVE-2022-21655 (punteggio CVSS 7.5, alto): gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta.
  Nota: anche se ASM/Istio-on-GKE non supporta i filtri Envoy, l'utilizzo di un filtro a risposta diretta potrebbe interessarti.
• CVE-2022-23606 (punteggio CVSS 4.4, medio): esaurimento dello stack quando un cluster viene eliminato tramite Cluster Discovery Service.
  Nota: questa CVE influisce su ASM 1.11 e versioni successive. ASM 1.10 e tutti Istio su GKE non sono interessati da questo CVE.
• CVE-2022-21657 (punteggio CVSS 3.1, basso): Envoy alla versione 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa dell'esclusione X.509 Extended Key Usage and Trust Purposes bypass.
• CVE-2022-21656 (punteggio CVSS 3.1, basso): Envoy alla versione 1.20.1 contiene una vulnerabilità sfruttabile da remoto a causa dell'esclusione della corrispondenza di subjectAltName (e del valore di nameConstraints) X.509.

• CVE-2022-23635 (punteggio CVSS 7.5, alto): Istio si arresta in modo anomalo alla ricezione delle richieste con un'intestazione "autorizzazione" appositamente creata.
  Nota: questa CVE influisce su tutti ASM/Istio-on-GKE.

Quali vulnerabilità vengono affrontate da questa patch?

Nella funzione cgroup_release_agent_write del kernel Linux è stata rilevata una vulnerabilità di sicurezza (CVE-2022-0492). L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per container breakout.

Che cosa devo fare?

Aggiornamento 16/05/2022: oltre alle versioni di GKE menzionate nell'aggiornamento del 12/05/2022, GKE versione 1.19.16-gke.7800 o successive contiene anche codice che corregge questa vulnerabilità.

Aggiornamento del 12/05/2022: le seguenti versioni di GKE contengono codice che corregge questa vulnerabilità:

• 1.20.15-gke.5600 o versioni successive
• 1.21.11-gke.1500 o versioni successive
• 1.22.8-gke.1800 o versioni successive
• 1.23.5-gke.1800 o versioni successive

La vulnerabilità è individuata nel kernel cgroup_release_agent_write del kernel Linux nella funzione kernel/cgroup/cgroup-v1.c e può essere utilizzata come analisi dei container. GKE non è interessato dalla protezione del profilo AppArmor predefinito su Ubuntu e COS. Tuttavia, alcuni clienti potrebbero comunque essere vulnerabili se hanno allentato le limitazioni di sicurezza sui pod modificando il campo securityContext del pod o del container, ad esempio disattivando/modificando il profilo AppArmor, cosa sconsigliata. Oltre al profilo AppArmor predefinito, queste funzionalità proteggono anche dalla vulnerabilità:

• GKE Autopilot non è interessato a causa del profilo seccomp predefinito.
• Aggiornamento 15/02/2022: gVisor (GKE Sandbox) non è interessato perché gVisor non consente l'accesso alla chiamata di sistema vulnerabile sull'host.

Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato non appena sarà disponibile.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2022-0492

Nella funzione cgroup_release_agent_write del kernel Linux è stata rilevata una vulnerabilità di sicurezza (CVE-2022-0492). L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per container breakout.

Che cosa devo fare?

Aggiornamento 12/05/2022: le seguenti versioni di GKE su VMware contengono codice che corregge questa vulnerabilità.

• 1.8.8 o versioni successive
• 1.9.5 o versioni successive
• 1.10.2 o versioni successive
• 1.11.0 o versioni successive

• 1.9.6 o versioni successive
• 1.10.3 o versioni successive
• 1.11.0 o versioni successive

La vulnerabilità si trova in cgroup_release_agent_write nel kernel/cgroup/cgroup-v1.c del kernel Linux alla funzione kernel/cgroup/cgroup-v1.c e può essere utilizzata come container breakout. GKE su VMware non è interessato dalla protezione del profilo AppArmor predefinito su Ubuntu e COS. Tuttavia, alcuni clienti potrebbero comunque essere vulnerabili se hanno allentato le limitazioni di sicurezza sui pod modificando il campo securityContext del pod o del container, ad esempio disattivando/modificando il profilo AppArmor, cosa sconsigliata.

Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato quando saranno disponibili.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2022-0492

Nella funzione cgroup_release_agent_write del kernel Linux è stata rilevata una vulnerabilità di sicurezza (CVE-2022-0492). L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per container breakout.

Che cosa devo fare?

Aggiornamento 12/05/2022: le seguenti versioni della generazione attuale e precedente di GKE su AWS contengono codice che corregge questa vulnerabilità:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

• 1.22.8-gke.1300
• 1.21.11-gke.1100
• 1.20.15-gke.5200

Aggiornamento 23/02/2022: è stata aggiunta una nota per GKE su AWS.

GKE su AWS generazioni precedenti e attuali non è interessato dalla protezione del profilo AppArmor predefinito su Ubuntu. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno allentato le limitazioni di sicurezza sui pod modificando il campo securityContext del pod o del container, ad esempio disattivando/modificando il profilo AppArmor, operazione sconsigliata.

Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato quando saranno disponibili.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2022-0492

Nella funzione cgroup_release_agent_write del kernel Linux è stata rilevata una vulnerabilità di sicurezza (CVE-2022-0492). L'attacco utilizza spazi dei nomi utente senza privilegi e, in determinate circostanze, questa vulnerabilità può essere sfruttata per container breakout.

Che cosa devo fare?

Aggiornamento del 12/05/2022: le seguenti versioni di GKE su Azure contengono codice che corregge questa vulnerabilità:

• 1.21.11-gke.1100
• 1.22.8-gke.1300

GKE su Azure non è interessato dalla protezione del profilo AppArmor predefinito su Ubuntu. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno allentato le limitazioni di sicurezza sui pod modificando il campo securityContext del pod o del container, ad esempio disattivando/modificando il profilo AppArmor, operazione sconsigliata.

Le patch saranno disponibili in una versione futura. Questo bollettino verrà aggiornato quando saranno disponibili.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2022-0492

• 1.20.15-gke.300
• 1.21.9-gke.300
• 1.22.6-gke.1000

È stata individuata una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi programma binario che si collega alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato NSS. Sia le immagini GKE COS che Ubuntu hanno una versione vulnerabile installata e deve essere applicata una patch.

Potenzialmente, CVE-2021-43527 può avere un impatto ampio su tutte le applicazioni che utilizzano NSS per la gestione delle firme codificate in CMS, S/MIME, PKCS#7 o PKCS#12. così come le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate. L'impatto dipende da come viene utilizzato/configurato NSS.

GKE non utilizza libnss3 per le API accessibili da internet. L'impatto è limitato al codice nell'host in esecuzione al di fuori dei container, dimensioni ridotte a causa della progettazione minima di ChromeOS. Il codice GKE in esecuzione all'interno dei container utilizzando l'immagine di base golang distroless non è interessata.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade del piano di controllo e dei nodi a una delle seguenti versioni GKE:

• Versione 1.18 da stabilire
• 1.19.16-gke.6100
• 1.20.15-gke.200
• 1.21.9-gke.200
• 1.22.6-gke.600
• 1.23.3-gke.500

Quale vulnerabilità viene affrontata da questa patch?

CVE-2021-43527

È stata individuata una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi programma binario che si collega alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda della configurazione di NSS. Sia per le immagini GKE su VMware COS che per le immagini Ubuntu è installata una versione vulnerabile e deve essere applicata una patch.

Potenzialmente, CVE-2021-43527 può avere un impatto ampio nelle applicazioni che utilizzano NSS per la gestione delle firme codificate in CMS, S/MIME, PKCS \#7 o PKCS \#12. così come le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate. L'impatto dipende dal modo in cui configura/utilizza NSS. Anthos on VMware non utilizza libnss3 per le API accessibili pubblicamente, pertanto l'impatto è limitato e la gravità di questo CVE per GKE su VMware è classificata come Media.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di Anthos sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade del piano di controllo e dei nodi a una delle seguenti versioni di Anthos:

• 1.8.7
• 1.9.4
• 1.10.2

Stai utilizzando una versione di GKE su VMware precedente alla 1.18? Stai utilizzando una versione di Anthos non disponibile come SLA e dovresti valutare l'upgrade a una delle versioni supportate.

Quale vulnerabilità viene affrontata da questa patch?

CVE-2021-43527

È stata individuata una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi programma binario che si collega alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come viene utilizzato/configurato NSS. I cluster Anthos su immagini Azure Ubuntu hanno una versione vulnerabile installata e deve essere applicata una patch.

Potenzialmente, CVE-2021-43527 può avere un impatto ampio nelle applicazioni che utilizzano NSS per la gestione delle firme codificate in CMS, S/MIME, PKCS#7 o PKCS#12. così come le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate. L'impatto dipende dal modo in cui configura/utilizza NSS. Cluster Anthos on Azure non utilizza libnss3 per le API accessibili pubblicamente, pertanto l'impatto è limitato e la gravità di questa CVE per Anthos on Azure è classificata come media.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di Anthos on Azure:

• Versione 1.21.6-gke.1500

Quale vulnerabilità viene affrontata da questa patch?

CVE-2021-43527

In pkexec, una parte del pacchetto del kit dei criteri Linux (polkit), è stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio dei servizi e così via, come regolato da un criterio.

Che cosa devo fare?

GKE non è interessato perché il modulo vulnerabile policykit-1 non è installato sulle immagini COS o Ubuntu utilizzate in GKE. Non è richiesta alcuna azione da parte tua.

In pkexec, una parte del pacchetto del kit dei criteri Linux (polkit), è stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio dei servizi e così via, come regolato da un criterio.

La configurazione predefinita di GKE Enterprise concede già agli utenti privilegi "sudo" completi, quindi questo exploit non modifica la strategia di sicurezza esistente di GKE Enterprise

Dettagli tecnici

Affinché questo bug sia sfruttabile, un utente malintenzionato ha bisogno sia di una shell non root sul file system del nodo sia di installare la versione vulnerabile di pkexec. Sebbene GKE su VMware includa una versione di policykit-1 nelle sue immagini di release, la configurazione predefinita di GKE Enterprise consente il sudo senza password a chiunque abbia già accesso alla shell, quindi questa vulnerabilità non concede a un utente più privilegi di quelli che ha già.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua. GKE su VMware non è interessato.

In pkexec, una parte del pacchetto del kit dei criteri Linux (polkit), è stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come il riavvio del sistema, l'installazione di pacchetti, il riavvio dei servizi e così via, come regolato da un criterio.

La configurazione predefinita di GKE Enterprise concede già agli utenti privilegi "sudo" completi, quindi questo exploit non modifica la strategia di sicurezza esistente di GKE Enterprise

Dettagli tecnici

Affinché questo bug sia sfruttabile, un utente malintenzionato ha bisogno sia di una shell non root sul file system del nodo sia di installare la versione vulnerabile di pkexec. Sebbene GKE su Azure includa una versione di policykit-1 nelle sue immagini di release, la configurazione predefinita di GKE Enterprise consente di eseguire il sudo senza password a chiunque abbia già accesso alla shell, quindi questa vulnerabilità non concede a un utente ulteriori privilegi di quelli che ha già.

Che cosa devo fare?

Non è richiesto alcun intervento da parte tua. GKE su Azure non è interessato.

Nel kernel Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ognuna delle quali può portare a un'container breakout, all'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure.

I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità.

Per ulteriori dettagli, consulta le note di rilascio COS.

Dettagli tecnici

In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug use-after-free nel kernel Linux, ottenendo così i privilegi root. Si tratta di un attacco di escalation dei privilegi locale che porterà a una container breakout.

CVE-2021-22600 è un doppio exploit gratuito in Package_set_ring che può portare a un attacco container escape nel nodo host.

Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può portare a una scrittura fuori limite che causerà una container breakout.

Il percorso di exploit per questa vulnerabilità che si basa sulla chiamata di sistema "annullamento della condivisione" è bloccato sui cluster GKE Autopilot per impostazione predefinita utilizzando il filtro seccomp.

Sono protetti anche gli utenti che hanno abilitato manualmente il profilo seccomp del runtime dei container predefinito sui cluster GKE Standard.

Che cosa devo fare?

Aggiornamento 07/03/2022: le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con codice per correggere tutte queste vulnerabilità sia per le immagini Ubuntu che per COS. Esegui l'upgrade del piano di controllo e dei nodi a una delle seguenti versioni di GKE.

• 1.18.20-gke.6101
• 1.19.16-gke.8300
• 1.20.15-gke.2500
• 1.21.10-gke.400
• 1.22.7-gke.900
• 1.23.3-gke.1100

Aggiornamento 25/02/2022: se utilizzi immagini dei nodi Ubuntu, 1.22.6-gke.1000 non risolve CVE-2021-22600. Aggiorneremo questo bollettino con le versioni patch di Ubuntu non appena saranno disponibili.

Aggiornamento 23/02/2022: le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE.

• 1.18.20-gke.6101
• 1.22.6-gke.1000
• 1.23.3-gke.1100

Aggiornamento del 04/02/2022: la data di inizio dell'implementazione per le versioni delle patch di GKE era il 2 febbraio.

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE.

• 1.19.16-gke.6100
• 1.20.15-gke.300
• 1.21.9-gke.300

Sono in corso anche le versioni 1.22 e 1.23. Aggiorneremo questo bollettino con le versioni specifiche non appena saranno disponibili.

Quale vulnerabilità viene affrontata da questa patch?

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Nel kernel Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ognuna delle quali può portare a un'container breakout, all'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure.

Per ulteriori dettagli, consulta le note di rilascio COS.

Dettagli tecnici

In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug use-after-free nel kernel Linux, ottenendo così i privilegi root. Si tratta di un attacco di escalation dei privilegi locale che porterà a una container breakout.

CVE-2021-22600 è un doppio exploit gratuito in Package_set_ring che può portare a un attacco container escape nel nodo host.

Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può portare a una scrittura fuori limite che causerà una container breakout.

Sono protetti anche gli utenti che hanno abilitato manualmente il profilo seccomp del runtime dei container predefinito sui cluster GKE Standard.

Che cosa devo fare?

Aggiornamento 23/02/2022: la versione 1.10.2 (correzioni di CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185) è ora programmata per il 1° marzo.

Aggiornamento 23/02/2022: sono state aggiunte versioni con patch che riguardano CVE-2021-2260.

La versione 1.10.1 non risolve la CVE-2021-22600, ma risolve le altre vulnerabilità. Le versioni 1.9.4 e 1.10.2, entrambe non rilasciate, riguarderanno CVE-2021-22600. Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei tuoi cluster a una delle seguenti versioni di GKE su VMware:

• 1.10.1 (Correzioni CVE-2021-4154 e CVE-2022-0185. Data di rilascio: 10 febbraio)
• 1.8.7 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185. Data di rilascio: 17 febbraio)
• 1.9.4 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185. Data di rilascio: 23 febbraio)
• 1.10.2 (Correzioni CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185. In programma per il 24 febbraio)

Aggiornamento 04-02-2022: sono state aggiunte informazioni sulle immagini Ubuntu che non risolvono il problema CVE-2021-22600.

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE su VMware:

• 1.10.1 (solo aggiornamento COS. la patch per Ubuntu sarà nella versione 1.10.2 prevista per il 23 febbraio)
• 1.9.4 (previsto per il 15 febbraio)
• 1.8.7 (previsto per il 15 febbraio)

Quale vulnerabilità viene affrontata da questa patch?

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Nel kernel Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ognuna delle quali può portare a un'container breakout, all'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure.

Per ulteriori dettagli, consulta le note di rilascio COS.

Dettagli tecnici

In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug use-after-free nel kernel Linux, ottenendo così i privilegi root. Si tratta di un attacco di escalation dei privilegi locale che porterà a una container breakout.

CVE-2021-22600 è un doppio exploit gratuito in Package_set_ring che può portare a un attacco container escape nel nodo host.

Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può portare a una scrittura fuori limite che causerà una container breakout.

Sono protetti anche gli utenti che hanno abilitato manualmente il profilo seccomp del runtime dei container predefinito sui cluster GKE Standard.

Che cosa devo fare?

GKE su AWS

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster alla seguente versione di GKE su AWS:

• 1.21.6-gke.1500 e versioni successive (disponibile a febbraio)

GKE su AWS (generazione precedente)

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS (generazione precedente) sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE su AWS (generazione precedente):

• 1.19.16-gke.5300
• 1.20.14-gke.2000
• 1.21.8-gke.2000

Quale vulnerabilità viene affrontata da questa patch?

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Nel kernel Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600 e CVE-2022-0185, ognuna delle quali può portare a un'container breakout, all'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure.

Per ulteriori dettagli, consulta le note di rilascio COS.

Dettagli tecnici

In CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema fsconfig per attivare un bug use-after-free nel kernel Linux, ottenendo così i privilegi root. Si tratta di un attacco di escalation dei privilegi locale che porterà a una container breakout.

CVE-2021-22600 è un doppio exploit gratuito in Package_set_ring che può portare a un attacco container escape nel nodo host.

Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può portare a una scrittura fuori limite che causerà una container breakout.

Sono protetti anche gli utenti che hanno abilitato manualmente il profilo seccomp del runtime dei container predefinito sui cluster GKE Standard.

Che cosa devo fare?

Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster alla versione di GKE su Azure seguente:

• 1.21.6-gke.1500 e versioni successive (disponibile a febbraio)

Quale vulnerabilità viene affrontata da questa patch?

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

È stato rilevato un problema di sicurezza nel controller ingress-nginx CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono il recupero dei token e dei secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi.

Che cosa devo fare?

Questo problema di sicurezza non influisce sull'infrastruttura dei cluster GKE né sull'infrastruttura dei cluster degli ambienti GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, è bene che sia noto questo problema di sicurezza. Per maggiori dettagli, consulta Numero 7837 ingress-nginx.

È stato rilevato un problema di sicurezza nel controller ingress-nginx CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono il recupero dei token e dei secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi.

Che cosa devo fare?

Questo problema di sicurezza non influisce sull'infrastruttura dei cluster GKE né sull'infrastruttura dei cluster degli ambienti GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, è bene che sia noto questo problema di sicurezza. Per maggiori dettagli, consulta Numero 7837 ingress-nginx.

È stato rilevato un problema di sicurezza nel controller ingress-nginx CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono il recupero dei token e dei secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi.

Che cosa devo fare?

Questo problema di sicurezza non influisce sull'infrastruttura dei cluster GKE né sull'infrastruttura dei cluster degli ambienti GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, è bene che sia noto questo problema di sicurezza. Per maggiori dettagli, consulta Numero 7837 ingress-nginx.

È stato rilevato un problema di sicurezza nel controller ingress-nginx CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono il recupero dei token e dei secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi.

Che cosa devo fare?

Questo problema di sicurezza non influisce sull'infrastruttura dei cluster GKE né sull'infrastruttura dei cluster degli ambienti GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, è bene che sia noto questo problema di sicurezza. Per maggiori dettagli, consulta Numero 7837 ingress-nginx.

È stata rilevata una vulnerabilità nel modulo LDAP di GKE Enterprise Identity Service (AIS) di GKE su VMware versioni 1.8 e 1.8.1 in cui una chiave seed utilizzata per generare chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie e riassegnare i privilegi a tempo indeterminato.

Dettagli tecnici

Una recente aggiunta al codice AIS crea chiavi simmetriche utilizzando il modulo matematico/rand di golang, che non è adatto per codici sensibili alla sicurezza. Il modulo viene utilizzato in modo da generare una chiave prevedibile. Durante la verifica dell'identità, viene generata una chiave Secure Token Service (STS) che viene successivamente criptata con una chiave simmetrica semplice da ricavare.

Che cosa devo fare?

Questa vulnerabilità riguarda solo i clienti che utilizzano AIS in GKE su VMware versioni 1.8 e 1.8.1. Per gli utenti di GKE su VMware 1.8, esegui l'upgrade dei cluster alla versione seguente:

• 1.8.2

In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, in cui è possibile creare determinati webhook per reindirizzare le richieste kube-apiserver alle reti private del server API.

Dettagli tecnici

Con questa vulnerabilità, gli attori che controllano le risposte delle richieste MutatingWebhookConfiguration o ValidatingWebhookConfiguration possono reindirizzare le richieste kube-apiserver alle reti private del server API. Se questo utente può visualizzare i log kube-apiserver quando il livello di log è impostato su 10, può visualizzare le risposte e le intestazioni di reindirizzamento nei log.

Questo problema può essere ridotto modificando alcuni parametri del server API.

Che cosa devo fare?

Al momento non è richiesta alcuna azione.

Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni per proteggere da questo tipo di attacco:

• Il flag --profiling per kube-apiserver è impostato su false.
• Il livello di log kube-apiserver è impostato su un valore inferiore a 10.

Quale vulnerabilità viene affrontata da questa patch?

In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, in cui è possibile creare determinati webhook per reindirizzare le richieste kube-apiserver alle reti private del server API.

Dettagli tecnici

Con questa vulnerabilità, gli attori che controllano le risposte delle richieste MutatingWebhookConfiguration o ValidatingWebhookConfiguration possono reindirizzare le richieste kube-apiserver alle reti private del server API. Se questo utente può visualizzare i log kube-apiserver quando il livello di log è impostato su 10, può visualizzare le risposte e le intestazioni di reindirizzamento nei log.

Questo problema può essere ridotto modificando alcuni parametri del server API.

Che cosa devo fare?

Al momento non è richiesta alcuna azione.

Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni per proteggere da questo tipo di attacco:

• Il flag --profiling per kube-apiserver è impostato su false.
• Il livello di log kube-apiserver è impostato su un valore inferiore a 10.

Quale vulnerabilità viene affrontata da questa patch?

In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, in cui è possibile creare determinati webhook per reindirizzare le richieste kube-apiserver alle reti private del server API.

Dettagli tecnici

Con questa vulnerabilità, gli attori che controllano le risposte delle richieste MutatingWebhookConfiguration o ValidatingWebhookConfiguration possono reindirizzare le richieste kube-apiserver alle reti private del server API. Se questo utente può visualizzare i log kube-apiserver quando il livello di log è impostato su 10, può visualizzare le risposte e le intestazioni di reindirizzamento nei log.

Questo problema può essere ridotto modificando alcuni parametri del server API.

Che cosa devo fare?

Al momento non è richiesta alcuna azione.

Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni per proteggere da questo tipo di attacco:

• Il flag --profiling per kube-apiserver è impostato su false.
• Il livello di log kube-apiserver è impostato su un valore inferiore a 10.

Quale vulnerabilità viene affrontata da questa patch?

In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, in cui è possibile creare determinati webhook per reindirizzare le richieste kube-apiserver alle reti private del server API.

Dettagli tecnici

Con questa vulnerabilità, gli attori che controllano le risposte delle richieste MutatingWebhookConfiguration o ValidatingWebhookConfiguration possono reindirizzare le richieste kube-apiserver alle reti private del server API. Se questo utente può visualizzare i log kube-apiserver quando il livello di log è impostato su 10, può visualizzare le risposte e le intestazioni di reindirizzamento nei log.

Questo problema può essere ridotto modificando alcuni parametri del server API.

Che cosa devo fare?

Al momento non è richiesta alcuna azione.

Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni per proteggere da questo tipo di attacco:

• Il flag --profiling per kube-apiserver è impostato su false.
• Il livello di log kube-apiserver è impostato su un valore inferiore a 10.

Quale vulnerabilità viene affrontata da questa patch?

È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi del volume dei sottopercorso per accedere a file e directory all'esterno del volume, anche nel file system dell'host.

Dettagli tecnici:

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade dei pool di nodi a una delle versioni seguenti o successive per sfruttare le patch più recenti:

• 1.21.4-gke.301
• 1.20.10-gke.301
• 1.19.14-gke.301
• 1.18.20-gke.4501

Anche le seguenti versioni contengono la correzione:

• 1.21.3-gke.2001
• 1.20.8-gke.2101
• 1.20.9-gke.701
• 1.20.9-gke.1001
• 1.19.12-gke.2101
• 1.19.13-gke.701
• 1.18.20-gke.3001

È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi del volume dei sottopercorso per accedere a file e directory all'esterno del volume, anche nel file system dell'host.

Dettagli tecnici:

Che cosa devo fare?

Aggiornamento del 24/09/2021: sono ora disponibili le versioni con patch 1.8.3 e 1.7.4.

Aggiornamento del 17/09/2021: è stato corretto l'elenco delle versioni disponibili che contengono la patch.

Le seguenti versioni di GKE su VMware sono state aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e dei cluster utente a una delle seguenti versioni:

• 1.8.3
• 1.8.2
• 1.7.4
• 1.6.5

È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi del volume dei sottopercorso per accedere a file e directory all'esterno del volume, anche nel file system dell'host.

Dettagli tecnici:

Che cosa devo fare?

Aggiornamento del 16/9/2021: aggiunto un elenco di versioni gke supportate per gli oggetti AWSCluster e AWSNodePool.

Le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. È consigliabile:

• Esegui l'upgrade degli oggetti AWSManagementService, AWSCluster e AWSNodePool alla seguente versione:
  • 1.8.2
• Aggiorna la versione gke degli oggetti AWSCluster e AWSNodePool in una delle versioni Kubernetes supportate:
  • 1.17.17-gke.15800
  • 1.18.20-gke.4800
  • 1.19.14-gke.600
  • 1.20.10-gke.600

È stato rilevato un problema di sicurezza in Kubernetes, CVE-2021-25741, in cui un utente potrebbe essere in grado di creare un container con montaggi del volume dei sottopercorso per accedere a file e directory all'esterno del volume, anche nel file system dell'host.

Dettagli tecnici:

Che cosa devo fare?

Le seguenti versioni di GKE su Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e dei cluster utente a una delle seguenti versioni:

• 1.8.3
• 1.7.4

23/09/2021 aggiornamento: