보안 게시판

이 페이지에서는 다음 제품의 모든 보안 게시판에 대해 설명합니다.

  • Google Kubernetes Engine(GKE)
  • VMware용 GKE
  • AWS용 GKE
  • Azure용 GKE
  • 베어메탈용 GKE

취약점은 영향을 받는 당사자가 대처 방안을 마련할 때까지 엠바고에 따라 보안 비밀로 유지되는 경우가 많습니다. 이 경우 제품의 출시 노트에서 엠바고가 해제될 때까지 '보안 업데이트'로 지칭됩니다. 엠바고가 해제되면 패치가 해결한 취약점을 반영하여 출시 노트가 업데이트됩니다.

GKE가 클러스터 구성이나 버전과 직접 관련된 보안 게시판을 발행하면 취약점 및 취할 수 있는 조치(해당하는 경우)에 대한 정보를 제공하는 SecurityBulletinEvent 클러스터 알림을 전송할 수 있습니다. 클러스터 알림 설정은 클러스터 알림을 참조하세요.

Google이 GKE 및 GKE Enterprise의 보안 취약점과 패치를 관리하는 방법에 대한 자세한 내용은 보안 패치 적용을 참조하세요.

GKE 및 GKE Enterprise 플랫폼은 ingress-nginx 및 CRI-O 컨테이너 런타임과 같은 구성요소를 사용하지 않으며, 이러한 구성요소의 취약점에 영향을 받지 않습니다. 다른 소스에서 구성요소를 설치하는 경우 소스에서 해당 구성요소의 보안 업데이트 및 패치 도움말을 참조하세요.

이 XML 피드를 사용하여 이 페이지의 보안 게시판을 구독합니다. 구독

GCP-2024-014

게시: 2024년 2월 26일
참조: CVE-2023-3776

GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3776

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3776

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3776

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3776

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3776

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2024-013

게시: 2024년 2월 23일
참조: CVE-2023-3610

GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3610

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3610

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3610

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3610

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3610

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2024-012

게시: 2024년 2월 20일
참조: CVE-2024-0193

GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-0193

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-0193

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-0193

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-0193

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-0193

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2024-011

게시: 2024년 2월 15일
참조: CVE-2023-6932

GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6932

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6932

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6932

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6932

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6932

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2024-010

게시: 2024년 2월 14일
참조: CVE-2023-6931

GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6931

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6931

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6931

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6931

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6931

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2024-008

게시: 2024년 2월12일
참조: CVE-2023-5528

GKE

설명 심각도

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

Windows Server 노드를 실행하고 트리 내 스토리지 플러그인을 사용하는 GKE Standard 클러스터가 영향을 받을 수 있습니다.

GKE Sandbox를 사용하는 GKE Autopilot 클러스터 및 GKE 노드 풀은 Windows Server 노드를 지원하지 않으므로 영향을 받지 않습니다.

어떻게 해야 하나요?

클러스터에서 사용 중인 Windows Server 노드가 있는지 확인합니다.


kubectl get nodes -l kubernetes.io/os=windows

감사 로그에서 악용 증거를 확인합니다. Kubernetes 감사 로그를 감사하여 이 취약점이 악용되고 있는지 확인할 수 있습니다. 특수문자가 포함된 로컬 경로 필드가 있는 영구 볼륨 만들기 이벤트는 악용을 나타내는 강력한 지표입니다.

GKE 클러스터 및 노드 풀을 패치 버전으로 업데이트합니다. 이 취약점을 해결하기 위해 다음 GKE 버전이 업데이트되었습니다. 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 Windows Server 노드 풀을 다음 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

높음

VMware용 GKE

설명 심각도

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

Windows Server 노드를 실행하고 트리 내 스토리지 플러그인을 사용하는 VMware용 GKE 클러스터가 영향을 받을 수 있습니다.

어떻게 해야 하나요?

클러스터에서 사용 중인 Windows Server 노드가 있는지 확인합니다.


kubectl get nodes -l kubernetes.io/os=windows

감사 로그에서 악용 증거를 확인합니다. Kubernetes 감사 로그를 감사하여 이 취약점이 악용되고 있는지 확인할 수 있습니다. 특수문자가 포함된 로컬 경로 필드가 있는 영구 볼륨 만들기 이벤트는 악용을 나타내는 강력한 지표입니다.

VMware용 GKE 클러스터와 노드 풀을 패치 버전으로 업데이트합니다. 이 취약점을 해결하기 위해 다음 VMware용 GKE 버전이 업데이트되었습니다. 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 Windows Server 노드 풀을 다음 VMware용 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

높음

AWS용 GKE

설명 심각도

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

AWS용 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

조치 필요 없음

없음

Azure용 GKE

설명 심각도

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

Azure용 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

조치 필요 없음

없음

베어메탈용 GKE

설명 심각도

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

베어메탈용 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

조치 필요 없음

없음

GCP-2024-005

게시: 2024년 1월 31일
업데이트: 2024년 2월 15일
참조: CVE-2024-21626

2024년 2월 15일 업데이트: 2024년 2월 14일 업데이트의 1.25 및 1.26 Ubuntu 패치 버전으로 인해 비정상 노드가 발생할 수 있음을 명확히 했습니다.
2024년 2월 14일 업데이트: Ubuntu의 패치 버전이 추가되었습니다.
2024년 2월 6일 업데이트: Container-Optimized OS의 패치 버전이 추가되었습니다.

GKE

업데이트: 2024년 2월 15일

설명 심각도

Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 2월 15일 업데이트: 문제로 인해 2024년 2월 14일 업데이트에서 다음 Ubuntu 패치 버전들이 노드를 비정상 상태가 되도록 할 수 있습니다. 다음 패치 버전으로 업그레이드하지 마세요. Ubuntu용 최신 패치 버전이 1.25 및 1.26에 제공되면 이 게시판이 업데이트됩니다.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

이러한 패치 버전 중 하나로 이미 업그레이드한 경우 출시 채널에서 노드 풀을 이전 버전으로 수동으로 다운그레이드합니다.


2024년 2월 14일 업데이트: 다음 GKE 버전은 Ubuntu에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

2024년 2월 6일 업데이트: 다음 GKE 버전은 Container-Optimized OS에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 Container-Optimized OS 노드 풀을 다음 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.


이 취약점을 해결하기 위한 코드로 GKE를 업데이트합니다. 패치 버전이 제공되면 이 게시판이 업데이트됩니다.

이 패치로 어떤 취약점이 해결되나요?

runc는 Kubernetes 포드에 사용되는 Linux 컨테이너를 생성하고 실행하기 위한 하위 수준 도구입니다. 이 보안 게시판에 출시된 패치 이전의 runc 버전에서는 여러 파일 설명자가 의도치 않게 컨테이너 내에서 실행되는 runc init 프로세스로 유출되었습니다. 또한 runc는 컨테이너의 최종 작업 디렉터리가 컨테이너의 마운트 네임스페이스 내에 있는지 확인하지 않았습니다. 악의적인 컨테이너 이미지 또는 임의의 포드를 실행할 수 있는 권한이 있는 사용자는 유출된 파일 설명자와 작업 디렉터리 검증 부족을 조합하여 노드의 호스트 마운트 네임스페이스에 액세스하고 전체 호스트 파일 시스템에 액세스하여 노드의 임의의 바이너리를 덮어쓸 수 있습니다.

높음

VMware용 GKE

설명 심각도

Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

어떻게 해야 하나요?

VMware용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다.

이 패치로 어떤 취약점이 해결되나요?

runc는 Kubernetes 포드에 사용되는 Linux 컨테이너를 생성하고 실행하기 위한 하위 수준 도구입니다. 이 보안 게시판에 출시된 패치 이전의 runc 버전에서는 여러 파일 설명자가 의도치 않게 컨테이너 내에서 실행되는 runc init 프로세스로 유출되었습니다. 또한 runc는 컨테이너의 최종 작업 디렉터리가 컨테이너의 마운트 네임스페이스 내에 있는지 확인하지 않았습니다. 악의적인 컨테이너 이미지 또는 임의의 포드를 실행할 수 있는 권한이 있는 사용자는 유출된 파일 설명자와 작업 디렉터리 검증 부족을 조합하여 노드의 호스트 마운트 네임스페이스에 액세스하고 전체 호스트 파일 시스템에 액세스하여 노드의 임의의 바이너리를 덮어쓸 수 있습니다.

높음

AWS용 GKE

설명 심각도

Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

어떻게 해야 하나요?

AWS용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다.

이 패치로 어떤 취약점이 해결되나요?

runc는 Kubernetes 포드에 사용되는 Linux 컨테이너를 생성하고 실행하기 위한 하위 수준 도구입니다. 이 보안 게시판에 출시된 패치 이전의 runc 버전에서는 여러 파일 설명자가 의도치 않게 컨테이너 내에서 실행되는 runc init 프로세스로 유출되었습니다. 또한 runc는 컨테이너의 최종 작업 디렉터리가 컨테이너의 마운트 네임스페이스 내에 있는지 확인하지 않았습니다. 악의적인 컨테이너 이미지 또는 임의의 포드를 실행할 수 있는 권한이 있는 사용자는 유출된 파일 설명자와 작업 디렉터리 검증 부족을 조합하여 노드의 호스트 마운트 네임스페이스에 액세스하고 전체 호스트 파일 시스템에 액세스하여 노드의 임의의 바이너리를 덮어쓸 수 있습니다.

높음

Azure용 GKE

설명 심각도

Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

어떻게 해야 하나요?

Azure용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다.

이 패치로 어떤 취약점이 해결되나요?

runc는 Kubernetes 포드에 사용되는 Linux 컨테이너를 생성하고 실행하기 위한 하위 수준 도구입니다. 이 보안 게시판에 출시된 패치 이전의 runc 버전에서는 여러 파일 설명자가 의도치 않게 컨테이너 내에서 실행되는 runc init 프로세스로 유출되었습니다. 또한 runc는 컨테이너의 최종 작업 디렉터리가 컨테이너의 마운트 네임스페이스 내에 있는지 확인하지 않았습니다. 악의적인 컨테이너 이미지 또는 임의의 포드를 실행할 수 있는 권한이 있는 사용자는 유출된 파일 설명자와 작업 디렉터리 검증 부족을 조합하여 노드의 호스트 마운트 네임스페이스에 액세스하고 전체 호스트 파일 시스템에 액세스하여 노드의 임의의 바이너리를 덮어쓸 수 있습니다.

높음

베어메탈용 GKE

설명 심각도

포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대해 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

어떻게 해야 하나요?

베어메탈용 GKE의 패치 버전과 심각도 평가가 진행 중입니다. 해당 정보가 제공되면 이 정보로 게시판을 업데이트합니다.

이 패치로 어떤 취약점이 해결되나요?

runc는 Kubernetes 포드에 사용되는 Linux 컨테이너를 생성하고 실행하기 위한 하위 수준 도구입니다. 이 보안 게시판에 출시된 패치 이전의 runc 버전에서는 여러 파일 설명자가 의도치 않게 컨테이너 내에서 실행되는 runc init 프로세스로 유출되었습니다. 또한 runc는 컨테이너의 최종 작업 디렉터리가 컨테이너의 마운트 네임스페이스 내에 있는지 확인하지 않았습니다. 악의적인 컨테이너 이미지 또는 임의의 포드를 실행할 수 있는 권한이 있는 사용자는 유출된 파일 설명자와 작업 디렉터리 검증 부족을 조합하여 노드의 호스트 마운트 네임스페이스에 액세스하고 전체 호스트 파일 시스템에 액세스하여 노드의 임의의 바이너리를 덮어쓸 수 있습니다.

높음

GCP-2024-004

게시: 2024년 1월 24일
업데이트: 2024년 2월 7일
참조: CVE-2023-6817

2024년 2월 7일 업데이트: Ubuntu용 패치 버전이 추가되었습니다.

GKE

업데이트: 2024년 2월 7일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6817

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 2월 7일 업데이트: 영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6817

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6817

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6817

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6817

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2024-003

게시: 2024년 1월 19일
업데이트: 2024년 1월 26일
2024년 1월 26일 업데이트: 영향을 받은 클러스터의 수와 영향을 완화하기 위해 취한 조치를 명확하게 설명했습니다.

GKE

업데이트: 2024년 1월 26일

설명 심각도

2024년 1월 26일 업데이트: system:authenticated 그룹과 관련된 고객 생성 구성 오류가 포함된 소수의 GKE 클러스터가 발견된 보안 연구가 이제 게시되었습니다. 연구원의 블로그 게시물에서는 일부 잘못 구성된 바인딩이 포함된 1,300개 클러스터와 높은 권한이 있는 108개를 언급했습니다. Google은 영향을 받은 고객과 긴밀히 협력하여 고객에게 이를 알리고 잘못 구성된 바인딩을 삭제할 수 있도록 도왔습니다.


Google 계정을 가진 모든 사용자를 포함하는 system:authenticated 그룹에 대한 Kubernetes 권한이 사용자에게 부여된 클러스터가 여러 개 식별되었습니다. 이러한 유형의 바인딩은 최소 권한의 원칙을 위반하고 대규모 사용자 그룹에 액세스 권한을 부여하므로 권장되지 않습니다. 이러한 유형의 바인딩을 찾는 방법은 '어떻게 해야 하나요'의 안내를 참고하세요.

최근 보안 연구원은 Google의 취약점 보고 프로그램을 통해 RBAC 구성이 잘못된 클러스터의 발견 항목을 보고했습니다.

Google의 인증 접근 방식은 복잡한 구성 단계를 추가하지 않고 Google Cloud 및 GKE에 대한 인증을 가능한 한 간단하고 안전하게 만드는 것입니다. 인증은 사용자가 누구인지 알려줄 뿐이며, 액세스는 승인을 통해 결정됩니다. 따라서 Google의 ID 공급업체를 통해 인증된 모든 사용자가 포함된 GKE의 system:authenticated 그룹은 정상적으로 작동하며 IAM allAuthenticatedUsers 식별자와 동일한 방식으로 기능합니다.

사용자가 system:anonymous, system:authenticated, system:unauthenticated를 포함한 Kubernetes 기본 제공 사용자 및 그룹의 승인 오류를 초래할 위험을 줄이기 위해 이를 감안한 몇 가지 조치를 취했습니다. 이러한 모든 사용자/그룹은 권한이 부여될 경우 클러스터에 위험을 초래할 수 있습니다. 2023년 11월에 개최된 Kubecon에서 RBAC 구성 오류를 노리는 공격자 활동 요소와 사용 가능한 방어 조치에 관해 논의했습니다.

시스템 사용자/그룹의 우발적인 승인 오류로부터 사용자를 보호하기 위해 다음과 같이 조치했습니다.

  • GKE 버전 1.28에서 권한이 높은 cluster-admin ClusterRole을 system:anonymous 사용자, system:authenticated 그룹 또는 system:unauthenticated 그룹에 새로 바인딩하는 것을 기본적으로 차단했습니다.
  • Event Threat Detection에 감지 규칙(GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING)을 빌드해 Security Command Center에 추가했습니다.
  • K8sRestrictRoleBindings를 사용해 정책 컨트롤러에 구성 가능한 방지 규칙을 빌드했습니다.
  • 이러한 사용자/그룹에 바인딩이 있는 모든 GKE 사용자에게 구성을 검토하도록 요청하는 이메일 알림이 전송되었습니다.
  • 네트워크 승인 기능을 빌드하고 1차 방어 레이어로 클러스터에 대한 네트워크 액세스를 제한하는 추천을 만들었습니다.
  • 2023년 11월 Kubecon에서 강연하여 이 문제에 대한 인식을 높였습니다.

승인된 네트워크 제한을 적용하는 클러스터에는 1차 방어 레이어가 있으며 인터넷에서 직접 공격을 받을 수 없습니다. 하지만 심층 방어와 네트워크 제어 오류 방지를 위해 이러한 바인딩을 삭제하는 것이 좋습니다.
참고로 Kubernetes 시스템 사용자 또는 그룹에 대한 바인딩을 의도적으로 사용하는 경우가 많이 있습니다(예: kubeadm 부트스트래핑, Rancher Dashboard, Bitnami Sealed Secrets). Goolge Cloud는 이러한 바인딩이 정상적으로 작동하는지 소프트웨어 공급업체에 확인했습니다.

Google은 예방 및 감지를 통해 이러한 시스템 사용자/그룹에 대한 사용자 RBAC 구성 오류를 방지하기 위한 추가 방법을 조사하고 있습니다.

어떻게 해야 하나요?

system:anonymous 사용자, system:authenticated 그룹 또는 system:unauthenticated 그룹 사용자에 대한 cluster-admin 바인딩을 방지하려면 해당 바인딩 생성이 차단되는 GKE v1.28 또는 그 이후 버전으로 업그레이드하면 됩니다(출시 노트).

기존 바인딩은 이 안내에 따라 검토해야 합니다.

보통

VMware용 GKE

현재 업데이트 없음

GKE on AWS

현재 업데이트 없음

Azure용 GKE

현재 업데이트 없음

베어메탈용 GKE

현재 업데이트 없음

GCP-2024-002

게시: 2024년 1월 17일
업데이트: 2024년 2월 20일
참조: CVE-2023-6111

2024년 2월 20일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.

GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6111

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

업데이트: 2024년 2월 20일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6111

어떻게 해야 하나요?

2024년 2월 20일 업데이트: 다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트됩니다. 클러스터를 1.28.100 이상 버전으로 업그레이드합니다.


대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6111

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6111

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6111

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-051

게시: 2023년 12월 28일
참조: CVE-2023-3609

GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3609

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3609

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3609

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3609

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3609

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-050

게시: 2023년 12월 27일
참조: CVE-2023-3389

GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3389

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3389

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3389

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3389

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3389

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-049

게시: 2023년 12월 20일
참조: CVE-2023-3090

GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3090

GKE Standard 클러스터가 영향을 받습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3090

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3090

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3090

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3090

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-048

게시: 2023년 12월 15일
업데이트: 2023년 12월 21일
참조: CVE-2023-3390

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

GKE

업데이트: 2023년 12월 21일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3390

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.27.4-gke.400
  • 1.28.0-gke.100

영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3390

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3390

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3390

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3390

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-047

게시: 2023년 12월 14일

GKE

설명 심각도

Fluent Bit 로깅 컨테이너를 손상시킨 공격자가 Anthos Service Mesh(사용 설정된 클러스터에서)에서 클러스터에 필요한 권한을 에스컬레이션하기 위해 필요한 고급 권한과 해당 액세스 권한을 결합할 수 있습니다. Fluent Bit 및 Anthos Service Mesh 관련 문제가 해결되었고 이제 수정 사항이 제공됩니다. 이러한 취약점은 GKE에서 자체적인 악용이 불가능하며 초기 손상이 필요합니다. Google에서는 이러한 취약점의 악용 사례가 확인되지 않았습니다.

이러한 문제는 취약점 발견 보상 프로그램을 통해 보고되었습니다.

어떻게 해야 하나요?

Fluent Bit에서 이러한 취약점을 해결하고 관리형 Anthos Service Mesh 사용자를 위해 다음 버전의 GKE가 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 이상 중 하나로 직접 업그레이드하는 것이 좋습니다.

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

클러스터에 클러스터 내 Anthos Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

이 패치로 어떤 취약점이 해결되나요?

이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 Fluent Bit 로깅 컨테이너를 손상시켜야 합니다. Fluent Bit에서 이러한 권한 에스컬레이션 필요 조건으로 어이질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다.

GKE는 Fluent Bit을 사용해서 클러스터에서 실행되는 워크로드의 로그를 처리합니다. GKE 기반 Fluent Bit은 또한 Cloud Run 워크로드의 로그를 수집하도록 구성되었습니다. 이러한 로그를 수집하도록 구성된 볼륨 마운트는 노드에서 실행 중인 다른 포드의 Kubernetes 서비스 계정 토큰에 대한 액세스 권한을 Fluent Bit에 제공했습니다. 연구원은 이 액세스를 사용해서 Anthos Service Mesh를 사용 설정한 클러스터에 대해 높은 권한의 서비스 계정 토큰을 발견했습니다.

Anthos Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Anthos Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다.

Google은 서비스 계정 토큰에 대한 Fluent Bit의 액세스 권한을 삭제하고 과도한 권한을 삭제할 수 있도록 Anthos Service Mesh 기능을 다시 설계했습니다.

중간 규모

VMware용 GKE

설명 심각도

Anthos Service Mesh를 사용하는 VMware용 GKE만 영향을 받습니다.

어떻게 해야 하나요?

클러스터에 클러스터 내 Anthos Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

이 패치로 어떤 취약점이 해결되나요?

이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다.

Anthos Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Anthos Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다.

Google은 과도한 권한을 삭제할 수 있도록 Anthos Service Mesh 기능을 다시 설계했습니다.

중간 규모

AWS용 GKE

설명 심각도

Anthos Service Mesh를 사용하는 AWS용 GKE만 영향을 받습니다.

어떻게 해야 하나요?

클러스터에 클러스터 내 Anthos Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

이 패치로 어떤 취약점이 해결되나요?

이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다.

Anthos Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Anthos Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다.

Google은 과도한 권한을 삭제할 수 있도록 Anthos Service Mesh 기능을 다시 설계했습니다.

중간 규모

Azure용 GKE

설명 심각도

Anthos Service Mesh를 사용하는 Azure용 GKE만 영향을 받습니다.

어떻게 해야 하나요?

클러스터에 클러스터 내 Anthos Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

이 패치로 어떤 취약점이 해결되나요?

이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다.

Anthos Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Anthos Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다.

Google은 과도한 권한을 삭제할 수 있도록 Anthos Service Mesh 기능을 다시 설계했습니다.

중간 규모

베어메탈용 GKE

설명 심각도

Anthos Service Mesh를 사용하는 베어메탈용 GKE 클러스터만 영향을 받습니다.

어떻게 해야 하나요?

클러스터에 클러스터 내 Anthos Service Mesh가 사용되는 경우 다음 버전 중 하나로 수동으로 업그레이드해야 합니다(출시 노트).

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

이 패치로 어떤 취약점이 해결되나요?

이 게시판에서 논의된 취약점을 악용하기 위해서는 공격자가 먼저 컨테이너를 손상시키거나 컨테이너에 침입하거나 클러스터 노드에서 루트 권한을 획득해야 합니다. 이러한 권한 에스컬레이션 필요 조건으로 이어질 수 있는 기존 취약점은 발견되지 않았습니다. 향후 발생 가능한 완전한 연쇄 공격을 방지하기 위한 보안 조치로 이러한 취약점에 패치가 적용되었습니다.

Anthos Service Mesh는 포드 만들기 및 삭제를 기능을 포함하여 필요에 따라 클러스터 구성을 변경하기 위해 높은 권한이 필요했습니다. 연구원은 Anthos Service Mesh의 권한이 부여된 Kubernetes 서비스 계정 토큰을 사용해서 클러스터 관리자 권한으로 새 포드를 만들어 초기 손상된 권한을 에스컬레이션했습니다.

Google은 과도한 권한을 삭제할 수 있도록 Anthos Service Mesh 기능을 다시 설계했습니다.

중간 규모

GCP-2023-046

게시: 2023년 11월 22일
업데이트: 2024년 1월 22일
참조: CVE-2023-5717

2024년 1월 22일 업데이트: Ubuntu 패치 버전 추가

GKE

업데이트: 2024년 1월 22일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5717

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2024년 1월 22일 업데이트: 다음과 같은 부 버전이 영향을 받습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5717

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5717

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5717

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5717

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-045

게시: 2023년 11월 20일
업데이트: 2023년 12월 21일
참조: CVE-2023-5197

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

GKE

업데이트: 2023년 12월 21일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5197

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

영향을 받는 부 버전은 다음과 같습니다. Container-Optimized OS 노드 풀을 다음 패치 버전 중 하나로 업그레이드하세요.

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

영향을 받는 부 버전은 다음과 같습니다. Ubuntu 노드 풀을 다음 패치 버전 이상 중 하나로 업그레이드하세요.

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5197

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5197

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5197

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5197

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-042

게시: 2023년 11월 13일
업데이트: 2023년 11월 15일
참조: CVE-2023-4147

2023년 11월 15일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

GKE

업데이트: 2023년 11월 15일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4147

GKE Standard 클러스터가 영향을 받습니다. GKE Autopilot 클러스터는 영향을 받지 않습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 15일 업데이트: 노드에서 해당 마이너 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 예를 들어 GKE 버전 1.27을 사용하는 경우 해당 패치 버전으로 업그레이드해야 합니다. 하지만 GKE 버전 1.24를 사용하는 경우 패치 버전으로 업그레이드할 필요가 없습니다.


Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Ubuntu 노드 풀을 다음 버전 중 하나로 업그레이드합니다.

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

클러스터가 자체 출시 채널에서 동일한 부 버전을 실행하는 경우 최신 출시 채널의 패치 버전을 적용할 수 있습니다. 이 기능을 사용하면 패치 버전이 출시 채널에서 기본값이 될 때까지 노드를 보호할 수 있습니다. 자세한 내용은 최신 채널에서 패치 버전 실행을 참조하세요.

높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4147

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4147

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4147

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4147

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-041

게시: 2023년 11월 8일
업데이트: 2023년 11월 21일, 2023년 12월 5일, 2023년 12월 21일
참조: CVE-2023-4004

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

2023년 12월 5일 업데이트: Container-Optimized OS 노드 풀용 GKE 버전이 추가되었습니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

GKE

업데이트: 2023년 11월 21일, 2023년 12월 5일, 2023년 12월 21일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4004

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 12월 5일 업데이트: 이전에 일부 GKE 버전이 누락되었습니다. 다음은 Container-Optimized OS를 업데이트할 수 있는 업데이트된 GKE 버전 목록입니다.

  • 1.24.17-gke.200 이상
  • 1.25.13-gke.200 이상
  • 1.26.8-gke.200 이상
  • 1.27.4-gke.2300 이상
  • 1.28.1-gke.1257000 이상

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Ubuntu 노드 풀을 다음 버전 중 하나로 업그레이드합니다.

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4004

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4004

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4004

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4004

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-040

게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 12월 21일
참조: CVE-2023-4921

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

GKE

업데이트: 2023년 11월 21일, 2023년 12월 21일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4921

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Ubuntu 노드 풀을 다음 버전 중 하나로 업그레이드합니다.

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4921

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4921

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4921

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4921

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-039

게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 11월 16일
참조: CVE-2023-4622

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

2023년 11월 16일 업데이트: 이 보안 게시판과 연관된 취약점은 CVE-2023-4622입니다. 이전 버전의 보안 게시판에 CVE-2023-4623이 취약점으로 잘못 표시되었습니다.

GKE

업데이트: 2023년 11월 21일, 2023년 11월 16일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Ubuntu 노드 풀을 다음 버전 중 하나로 업그레이드합니다.

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
높음

VMware용 GKE

업데이트: 2023년 11월 16일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

어떻게 해야 하나요?

대기 중

AWS용 GKE

업데이트: 2023년 11월 16일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

어떻게 해야 하나요?

대기 중

Azure용 GKE

업데이트: 2023년 11월 16일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

업데이트: 2023년 11월 16일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-038

게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 12월 21일
참조: CVE-2023-4623

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

GKE

업데이트: 2023년 11월 21일, 2023년 12월 21일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Ubuntu 노드 풀을 다음 버전 중 하나로 업그레이드합니다.

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-037

게시: 2023년 11월 6일
업데이트: 2023년 11월 21일, 2023년 12월 21일
참조: CVE-2023-4015

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

GKE

업데이트: 2023년 11월 21일, 2023년 12월 21일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4015

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

  • 1.27.5-gke.1647000

Ubuntu 노드 풀을 다음 버전 중 하나로 업그레이드합니다.

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4015

어떻게 해야 하나요?

대기 중

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4015

어떻게 해야 하나요?

대기 중

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4015

어떻게 해야 하나요?

대기 중

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4015

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

없음

GCP-2023-035

게시: 2023년 10월 26일
업데이트: 2023년 11월 21일, 2023년 12월 21일
참조: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

GKE

업데이트: 2023년 11월 21일, 2023년 12월 21일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Ubuntu 노드 풀을 다음 버전 중 하나로 업그레이드합니다.

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

어떻게 해야 하나요?

높음

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

어떻게 해야 하나요?

높음

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

어떻게 해야 하나요?

높음

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

높음

GCP-2023-033

게시: 2023년 10월 24일
업데이트: 2023년 11월 21일, 2023년 12월 21일
참조: CVE-2023-3777

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터 및 GKE Sandbox 워크로드에 영향이 없음을 명시합니다.

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.

GKE

업데이트: 2023년 11월 21일, 2023년 12월 21일

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3777

2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다. GKE Sandbox 워크로드도 영향을 받지 않습니다.

Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

2023년 11월 21일 업데이트: 노드에서 해당 부 버전을 사용하는 경우 이 게시판에 나열된 패치 버전 중 하나로만 업그레이드하면 됩니다. 목록에 없는 부 버전은 영향을 받지 않습니다.

Container-Optimized OS 노드 풀을 다음 버전 중 하나로 업그레이드하세요.

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Ubuntu 노드 풀을 다음 버전 중 하나로 업그레이드합니다.

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
높음

VMware용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3777

어떻게 해야 하나요?

AWS용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3777

어떻게 해야 하나요?

Azure용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3777

어떻게 해야 하나요?

베어메탈용 GKE

설명 심각도

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3777

어떻게 해야 하나요?

별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포 시 운영 체제를 번들로 제공하지 않으므로 영향을 받지 않습니다.

GCP-2023-030

게시: 2023년 10월 10일
업데이트: 2024년 2월 14일
참조: CVE-2023-44487CVE-2023-39325

2024년 2월 14일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.
2023년 11월 9일 업데이트: CVE-2023-39325가 추가되었습니다. CVE-2023-44487 및 CVE-2023-39325의 최신 패치로 GKE 버전이 업데이트되었습니다.

GKE

업데이트: 2023년 11월 9일

설명 심각도

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 제어 영역에 대한 DoS가 발생할 수 있습니다. 승인된 네트워크가 구성된 GKE 클러스터는 네트워크 액세스 제한을 통해 보호되지만 다른 모든 클러스터는 영향을 받습니다.

어떻게 해야 하나요?

2023년 11월 9일 업데이트: Go 및 Kubernetes 보안 패치가 포함된 새 버전의 GKE가 출시되었으며 이제 클러스터를 업데이트할 수 있습니다. 향후 몇 주 내에 이 문제를 해결하기 위해 GKE 제어 영역에 추가 변경사항을 출시할 예정입니다.

다음 GKE 버전이 CVE-2023-44487 및 CVE-2023-39325용 패치로 업데이트되었습니다.

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

가능한 한 빨리 다음과 같은 완화 조치를 적용하고 가능한 경우 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판을 업데이트하여 제어 영역을 업그레이드할 버전에 대한 안내를 제공하고 클러스터에서 사용 가능한 경우 GKE 보안 상황 내에서 패치를 표시되도록 합니다. 채널에 패치가 제공될 때 Pub/Sub 알림을 받으려면 클러스터 알림을 사용 설정하세요.

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

제어 영역 액세스를 위해 승인된 네트워크를 구성하여 완화:

기존 클러스터에 승인된 네트워크를 추가할 수 있습니다. 자세한 내용은 기존 클러스터에 대해 승인된 네트워크를 참조하세요.

승인된 네트워크 외에도 GKE 제어 영역에 액세스할 수 있는 사전 설정된 IP 주소가 있습니다. 이러한 주소에 대한 자세한 내용은 제어 영역 엔드포인트에 대한 액세스를 참조하세요. 다음 항목은 클러스터 격리를 요약해서 보여줍니다.

  • --master-authorized-networks가 포함된 비공개 클러스터와 --master-authorized-networks--no-enable-google-cloud가 구성된 PSC 기반 클러스터가 가장 격리된 위치에 있습니다.
  • --master-authorized-networks가 포함된 기존 공개 클러스터와 --master-authorized-networks--enable-google-cloud(기본값)가 구성된 PSC 기반 클러스터는 다음을 통해 추가로 액세스할 수 있습니다.
    • Google Cloud에 있는 모든 Compute Engine VM의 공개 IP 주소
    • Google Cloud Platform IP 주소

이 패치로 어떤 취약점이 해결되나요?

취약점 CVE-2023-44487을 통해 공격자가 GKE 제어 영역 노드에서 서비스 거부(Dos) 공격을 실행할 수 있습니다.

높음

VMware용 GKE

업데이트: 2024년 2월 14일

설명 심각도

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 제어 영역에 대한 DoS가 발생할 수 있습니다. VMware용 GKE는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 Kubernetes 클러스터를 만듭니다.

어떻게 해야 하나요?

2024년 2월 14일 업데이트: 다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트됩니다. 클러스터를 다음 패치 버전 이상으로 업그레이드하세요.

  • 1.28.100
  • 1.16.6
  • 1.15.8

인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 VMware용 GKE Kubernetes 클러스터를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다.

가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 제어 영역을 업그레이드할 버전에 대한 안내가 업데이트됩니다.

이 패치로 어떤 취약점이 해결되나요?

취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 제어 영역 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다.

높음

AWS용 GKE

설명 심각도

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 제어 영역에 대한 DoS가 발생할 수 있습니다. AWS 기반 GKE는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 비공개 Kubernetes 클러스터를 만듭니다.

어떻게 해야 하나요?

인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 AWS 기반 GKE를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다.

가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 제어 영역을 업그레이드할 버전에 대한 안내가 업데이트됩니다.

이 패치로 어떤 취약점이 해결되나요?

취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 제어 영역 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다.

높음

Azure용 GKE

설명 심각도

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 제어 영역에 대한 DoS가 발생할 수 있습니다. Azure 기반 GKE는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 비공개 Kubernetes 클러스터를 만듭니다.

어떻게 해야 하나요?

인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 Azure 기반 GKE를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다.

가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 제어 영역을 업그레이드할 버전에 대한 안내가 업데이트됩니다.

이 패치로 어떤 취약점이 해결되나요?

취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 제어 영역 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다.

높음

베어메탈용 GKE

설명 심각도

최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Kubernetes 제어 영역에 대한 DoS가 발생할 수 있습니다. 베어메탈용 Anthos는 기본적으로 인터넷에 직접 액세스할 수 없고 이 취약점으로부터 보호되는 Kubernetes 클러스터를 만듭니다.

어떻게 해야 하나요?

인터넷 또는 기타 신뢰할 수 없는 네트워크에 직접 액세스할 수 있도록 베어메탈용 Anthos Kubernetes 클러스터를 구성한 경우 방화벽 관리자와 협력하여 해당 액세스를 차단하거나 제한하는 것이 좋습니다. 자세한 내용은 베어메탈용 GKE 보안 개요를 참조하세요.

가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

Golang 패치는 10월 10일에 출시됩니다. 패치가 제공되면 해당 패치가 포함된 새 Kubernetes API 서버를 빌드 및 검증하고 GKE 패치 출시 버전을 만들 예정입니다. GKE 출시 버전이 제공되면 이 게시판에 제어 영역을 업그레이드할 버전에 대한 안내가 업데이트됩니다.

이 패치로 어떤 취약점이 해결되나요?

취약점 CVE-2023-44487을 통해 공격자가 Kubernetes 제어 영역 노드에서 서비스 거부(DoS) 공격을 실행할 수 있습니다.

높음

GCP-2023-026

게시: 2023년 9월6일
참조: CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GKE

설명 심각도

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

GKE 클러스터는 Windows 노드가 포함된 경우에만 영향을 받습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

GKE 제어 영역은 2023년 9월 4일 주에 업데이트되어 csi-proxy를 버전 1.1.3으로 업데이트합니다. 제어 영역 업데이트 전에 노드를 업데이트하는 경우 새 프록시를 활용하려면 업데이트 후 노드를 다시 업데이트해야 합니다. gcloud container clusters upgrade 명령어를 실행하고 노드 풀이 이미 실행 중인 동일한 GKE 버전으로 --cluster-version 플래그를 전달하면 노드 버전을 변경하지 않고도 노드를 다시 업데이트할 수 있습니다. 이 해결 방법에는 gcloud CLI를 사용해야 합니다. 그러면 유지보수 기간에 관계없이 업데이트가 수행됩니다.

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-3676을 사용하면 악의적인 행위자가 PowerShell 명령어를 포함하는 호스트 경로 문자열로 포드 사양을 작성할 수 있습니다. Kubelet은 입력 정리를 지원하지 않으며 명령어 실행자에게 조작된 경로 문자열을 해당 문자열 일부를 별도의 명령어로 실행하는 인수로 전달합니다. 이러한 명령어는 Kubelet과 동일한 관리 권한으로 실행됩니다.

CVE-2023-3955에서 Kubelet은 포드를 만들 수 있는 사용자에게 Kubelet 에이전트와 동일한 권한 수준으로 코드를 실행할 수 있는 권한을 부여합니다.

CVE-2023-3893의 경우 유사하게 입력 정리가 지원되지 않으므로 kubernetes-csi-proxy를 실행하는 Windows 노드에서 포드를 생성할 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있습니다.

Kubernetes 감사 로그를 사용하여 이 취약점이 악용되는지 여부를 감지할 수 있습니다. 삽입된 PowerShell 명령어를 사용한 포드 생성 이벤트는 악용을 나타내는 강력한 지표입니다. 삽입된 PowerShell 명령어를 포함하고 포드에 마운트된 ConfigMap 및 보안 비밀 역시 악용을 나타내는 강력한 지표입니다.

높음

VMware용 GKE

설명 심각도

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

클러스터는 Windows 노드가 포함된 경우에만 영향을 받습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-3676을 사용하면 악의적인 행위자가 PowerShell 명령어를 포함하는 호스트 경로 문자열로 포드 사양을 조작할 수 있습니다. Kubelet은 입력 정리를 지원하지 않으며 명령어 실행자에게 조작된 경로 문자열을 해당 문자열 일부를 별도의 명령어로 실행하는 인수로 전달합니다. 이러한 명령어는 Kubelet과 동일한 관리 권한으로 실행됩니다.

CVE-2023-3955에서 Kubelet은 포드를 만들 수 있는 사용자에게 Kubelet 에이전트와 동일한 권한 수준으로 코드를 실행할 수 있는 권한을 부여합니다.

CVE-2023-3893의 경우 유사하게 입력 정리가 지원되지 않으므로 kubernetes-csi-proxy를 실행하는 Windows 노드에서 포드를 생성할 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있습니다.

Kubernetes 감사 로그를 사용하여 이 취약점이 악용되는지 여부를 감지할 수 있습니다. 삽입된 PowerShell 명령어를 사용한 포드 생성 이벤트는 악용을 나타내는 강력한 지표입니다. 삽입된 PowerShell 명령어를 포함하고 포드에 마운트된 ConfigMap 및 보안 비밀 역시 악용을 나타내는 강력한 지표입니다.

높음

AWS용 GKE

설명 심각도

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

어떻게 해야 하나요?

AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다.

없음

Azure용 GKE

설명 심각도

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

어떻게 해야 하나요?

Azure 기반 GKE는 이러한 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다.

없음

베어메탈용 GKE

설명 심각도

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

어떻게 해야 하나요?

베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다.

없음

GCP-2023-018

게시: 2023년 6월 27일
참조: CVE-2023-2235

GKE

설명 심각도

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. GKE Autopilot 노드에서 항상 Container-Optimized OS 노드 이미지를 사용하므로 GKE Autopilot 클러스터가 영향을 받습니다. Container-Optimized OS 노드 이미지를 실행하는 버전 1.25 이상의 GKE Standard 클러스터가 영향을 받습니다.

GKE 클러스터는 Ubuntu 노드 이미지만 실행하거나 1.25 이전 버전을 실행하거나 GKE Sandbox를 사용하는 경우에는 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다.

높음

VMware용 GKE

설명 심각도

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. VMware용 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

해결되는 취약점은 무엇인가요?

CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다.

높음

AWS용 GKE

설명 심각도

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. AWS 기반 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다.

높음

Azure용 GKE

설명 심각도

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. Azure 기반 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-2235에서는 perf_group_delimiter 함수가 add_event_to_groups()를 호출하기 전에 이벤트의 동위 attach_state를 확인하지 않았지만 remove_on_exec가 그룹에서 분리하기 전에 list_del_event()를 호출할 수 있었습니다. 이로 인해 허상 포인터를 사용하면use-after-free 취약점이 발생할 수 있습니다.

높음

베어메탈용 GKE

설명 심각도

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다.

베어메탈용 Google Distributed Cloud Virtual은 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

없음

GCP-2023-017

게시: 2023년 6월 26일
업데이트: 2023년 7월 11일
참조: CVE-2023-31436

2023년 7월 11일 업데이트: CVE-2023-31436 패치를 적용하는 최신 Ubuntu 버전이 포함되도록 새 GKE 버전이 업데이트되었습니다.

GKE

업데이트: 2023년 7월 11일

설명 심각도

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

2023년 7월 11일 업데이트: Ubuntu 패치 버전이 제공됩니다.

CVE-2023-31436 패치를 적용하는 최신 Ubuntu 버전이 포함되도록 다음 GKE 버전이 업데이트되었습니다.

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다.

높음

VMware용 GKE

설명 심각도

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. VMware용 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

해결되는 취약점은 무엇인가요?

CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다.

높음

AWS용 GKE

설명 심각도

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. AWS 기반 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다.

높음

Azure용 GKE

설명 심각도

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. Azure 기반 GKE 클러스터가 영향을 받습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-31436에서는 Linux 커널의 트래픽 제어(QoS) 하위 시스템에서 사용자가 lmax로 사용되는 네트워크 기기의 잘못된 MTU 값으로 qfq_change_class 함수를 트리거하는 방법에서 범위를 벗어난 메모리 액세스 결점이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 비정상 종료되거나 시스템에 대한 권한을 에스컬레이션할 수 있습니다.

높음

베어메탈용 GKE

설명 심각도

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다.

베어메탈용 Google Distributed Cloud Virtual은 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

없음

GCP-2023-016

게시: 2023년 6월 26일
참조: CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GKE

설명 심각도

Anthos Service Mesh(ASM)에 사용되는 Envoy에서 여러 취약점이 발견되었습니다. 각각 GCP-2023-002로 보고되었습니다.

GKE는 ASM과 함께 제공되지 않으며 이러한 취약점의 영향을 받지 않습니다.

어떻게 해야 하나요?

GKE 클러스터용으로 ASM을 별도로 설치했으면 GCP-2023-002를 참조하세요.

없음

VMware용 GKE

설명 심각도

VMware용 GKE의 Anthos Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점을 통해 악의적인 공격자가 서비스 거부를 일으키거나 Envoy를 비정상 종료할 수 있습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었지만 GKE Enterprise 고객이 ASM을 포함하는 버전을 업데이트하도록 하려고 합니다.

어떻게 해야 하나요?

다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

  • 1.13.8
  • 1.14.5
  • 1.15.1

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-27496: Envoy에서 활성화된 OAuth 필터가 노출된 상태로 실행 중인 경우 악의적인 행위자가 Envoy를 비정상 종료하여 서비스 거부를 일으킬 수 있는 요청을 생성할 수 있습니다.

CVE-2023-27488: 공격자는 이 취약점을 사용하여 ext_authz가 사용될 때 인증 검사를 우회할 수 있습니다.

CVE-2023-27493: Envoy 구성에 피어 인증서 SAN과 같은 요청의 입력을 통해 생성된 요청 헤더를 추가하는 옵션도 포함되어야 합니다.

CVE-2023-27492: 공격자는 Lua 필터가 사용 설정된 경로에 대해 대규모 요청 본문을 전송하고 비정상 종료를 트리거할 수 있습니다.

CVE-2023-27491: 공격자는 HTTP/1 업스트림 서비스에서 파싱 오류를 트리거하도록 특별히 제작된 HTTP/2 또는 HTTP/3 요청을 전송할 수 있습니다.

CVE-2023-27487: x-envoy-original-path 헤더는 내부 헤더여야 하지만, Envoy는 신뢰할 수 없는 클라이언트에서 보낸 요청 처리 시작 시 요청에서 이 헤더를 삭제하지 않습니다.

높음

AWS용 GKE

설명 심각도

Anthos Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었습니다.

AWS 기반 GKE는 ASM과 함께 제공되지 않으며 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

없음

Azure용 GKE

설명 심각도

Anthos Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었습니다.

Azure 기반 GKE는 ASM과 함께 제공되지 않으며 영향을 받지 않습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다.

없음

베어메탈용 GKE

설명 심각도

베어메탈용 GKE의 Anthos Service Mesh에서 사용되는 Envoy에서 여러 취약점(CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487)이 발견되었습니다. 이러한 취약점을 통해 악의적인 공격자가 서비스 거부를 일으키거나 Envoy를 비정상 종료할 수 있습니다. 이러한 취약점은 각각 GCP-2023-002로 보고되었지만 GKE Enterprise 고객이 ASM을 포함하는 버전을 업데이트하도록 하려고 합니다.

어떻게 해야 하나요?

다음 베어메탈용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 베어메탈용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

  • 1.13.9
  • 1.14.6
  • 1.15.2

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-27496: Envoy에서 활성화된 OAuth 필터가 노출된 상태로 실행 중인 경우 악의적인 행위자가 Envoy를 비정상 종료하여 서비스 거부를 일으킬 수 있는 요청을 생성할 수 있습니다.

CVE-2023-27488: 공격자는 이 취약점을 사용하여 ext_authz가 사용될 때 인증 검사를 우회할 수 있습니다.

CVE-2023-27493: Envoy 구성에 피어 인증서 SAN과 같은 요청의 입력을 통해 생성된 요청 헤더를 추가하는 옵션도 포함되어야 합니다.

CVE-2023-27492: 공격자는 Lua 필터가 사용 설정된 경로에 대해 대규모 요청 본문을 전송하고 비정상 종료를 트리거할 수 있습니다.

CVE-2023-27491: 공격자는 HTTP/1 업스트림 서비스에서 파싱 오류를 트리거하도록 특별히 제작된 HTTP/2 또는 HTTP/3 요청을 전송할 수 있습니다.

CVE-2023-27487: x-envoy-original-path 헤더는 내부 헤더여야 하지만, Envoy는 신뢰할 수 없는 클라이언트에서 보낸 요청 처리 시작 시 요청에서 이 헤더를 삭제하지 않습니다.

높음

GCP-2023-015

게시: 2023년 6월 20일
참조: CVE-2023-0468

GKE

설명 심각도

노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-0468에서 Linux 커널에 있는 io_uring 하위 구성요소의 io_poll_check_events의 io_uring/poll.c에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 NULL 포인터가 역참조될 수 있으며 시스템 비정상 종료로 인해 서비스 거부가 발생할 수 있습니다.

중간 규모

VMware용 GKE

설명 심각도

노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다.

VMware용 GKE는 Linux 커널 버전 5.4를 사용하며 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

  • 이와 관련해 별도의 조치를 취할 필요는 없습니다.
없음

AWS용 GKE

설명 심각도

노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다.

AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

  • 이와 관련해 별도의 조치를 취할 필요는 없습니다.
없음

Azure용 GKE

설명 심각도

노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다.

Azure 기반 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

  • 이와 관련해 별도의 조치를 취할 필요는 없습니다.
없음

베어메탈용 GKE

설명 심각도

노드에서 서비스 거부를 일으킬 수 있는 새로운 취약점(CVE-2023-0468)이 Linux 커널 버전 5.15에서 발견되었습니다.

베어메탈용 Google Distributed Cloud Virtual은 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

  • 이와 관련해 별도의 조치를 취할 필요는 없습니다.
없음

GCP-2023-014

게시: 2023년 6월 15일
업데이트: 2023년 8월 11일
참조: CVE-2023-2727, CVE-2023-2728

2023년 8월 11일 업데이트: VMware용 GKE, AWS 기반 GKE, Azure 기반 GKE, 베어메탈용 GKE에 대한 패치 버전이 추가되었습니다.

GKE

설명 심각도

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다.

GKE는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다.

모든 버전의 GKE는 CVE-2023-2728에 취약할 수 있습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다.

CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.

  • ServiceAccount 허용 플러그인이 사용됩니다.
  • kubernetes.io/enforce-mountable-secrets 주석은 서비스 계정에서 사용됩니다. 이 주석은 기본적으로 추가되지 않습니다.
  • 포드에서 임시 컨테이너를 사용하고 있습니다.
중간 규모

VMware용 GKE

업데이트: 2023년 8월11일

설명 심각도

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다. VMware용 Anthos는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다.

모든 버전의 VMware용 Anthos는 CVE-2023-2728에 취약할 수 있습니다.

어떻게 해야 하나요?

2023년 8월 11일 업데이트: 다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 클러스터와 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드합니다.

  • 1.13.10
  • 1.14.6
  • 1.15.3

해결되는 취약점은 무엇인가요?

CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다.

CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.

  • ServiceAccount 허용 플러그인이 사용됩니다.
  • kubernetes.io/enforce-mountable-secrets 주석은 서비스 계정에서 사용됩니다. 이 주석은 기본적으로 추가되지 않습니다.
  • 포드에서 임시 컨테이너를 사용하고 있습니다.
중간 규모

AWS용 GKE

업데이트: 2023년 8월11일

설명 심각도

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다.
AWS용 Anthos는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다.
모든 버전의 AWS용 Anthos는 CVE-2023-2728에 취약할 수 있습니다.

어떻게 해야 하나요?

2023년 8월 11일 업데이트: 다음 버전의 AWS 기반 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전으로 업그레이드합니다.

  • 1.15.2

해결되는 취약점은 무엇인가요?

CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다.

CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.

  • ServiceAccount 허용 플러그인이 사용됩니다.
  • kubernetes.io/enforce-mountable-secrets 주석은 서비스 계정에서 사용됩니다. 이 주석은 기본적으로 추가되지 않습니다.
  • 포드에서 임시 컨테이너를 사용하고 있습니다.
중간 규모

Azure용 GKE

업데이트: 2023년 8월11일

설명 심각도

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다.
Anthos on Azure는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다.
모든 버전의 Anthos on Azure는 CVE-2023-2728에 취약할 수 있습니다.

어떻게 해야 하나요?

2023년 8월 11일 업데이트: 다음 버전의 Azure 기반 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전으로 업그레이드합니다.

  • 1.15.2

해결되는 취약점은 무엇인가요?

CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다.

CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.

  • ServiceAccount 허용 플러그인이 사용됩니다.
  • kubernetes.io/enforce-mountable-secrets 주석은 서비스 계정에서 사용됩니다. 이 주석은 기본적으로 추가되지 않습니다.
  • 포드에서 임시 컨테이너를 사용하고 있습니다.
중간 규모

베어메탈용 GKE

업데이트: 2023년 8월11일

설명 심각도

Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다.
베어메탈용 Anthos는 ImagePolicyWebhook을 사용하지 않으며 CVE-2023-2727의 영향을 받지 않습니다.
모든 버전의 베어메탈용 Anthos는 CVE-2023-2728에 취약할 수 있습니다.

어떻게 해야 하나요?

2023년 8월 11일 업데이트: 다음 버전의 베어메탈용 Google Distributed Cloud Virtual는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 베어메탈용 Google Distributed Cloud Virtual 중 하나로 업그레이드합니다.

  • 1.13.9
  • 1.14.7
  • 1.15.3

해결되는 취약점은 무엇인가요?

CVE-2023-2727에서는 사용자가 임시 컨테이너를 사용할 때 ImagePolicyWebhook으로 제한된 이미지를 사용하여 컨테이너를 실행할 수 있습니다. Kubernetes 클러스터는 ImagePolicyWebhook 허용 플러그인이 임시 컨테이너와 함께 사용될 때에만 영향을 받습니다. 또한 게이트키퍼 및 Kyverno와 같은 유효성 검사 웹훅을 사용하여 동일한 제약조건을 시행하면 이 CVE를 완화할 수 있습니다.

CVE-2023-2728에서 사용자는 임시 컨테이너를 사용할 때 ServiceAccount 허용 플러그인에서 시행하는 마운트 가능 보안 비밀 정책을 우회하는 컨테이너를 실행할 수 있습니다. 이 정책은 서비스 계정으로 실행되는 포드가 서비스 계정의 보안 비밀 필드에 지정된 보안 비밀만 참조할 수 있도록 합니다. 다음과 같은 경우 클러스터는 이 취약점의 영향을 받습니다.

  • ServiceAccount 허용 플러그인이 사용됩니다.
  • kubernetes.io/enforce-mountable-secrets 주석은 서비스 계정에서 사용됩니다. 이 주석은 기본적으로 추가되지 않습니다.
  • 포드에서 임시 컨테이너를 사용하고 있습니다.
중간 규모

GCP-2023-009

게시: 2023년 6월 6일
참조: CVE-2023-2878

GKE

설명 심각도

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다.

GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다.

이 패치로 어떤 취약점이 해결되나요?

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다.

없음

VMware용 GKE

설명 심각도

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다.

VMware용 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

VMware용 GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다.

이 패치로 어떤 취약점이 해결되나요?

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다.

없음

AWS용 GKE

설명 심각도

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다.

AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

AWS 기반 GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다.

이 패치로 어떤 취약점이 해결되나요?

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다.

없음

Azure용 GKE

설명 심각도

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다.

Azure 기반 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

Azure 기반 GKE는 영향을 받지 않지만 secret-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다.

이 패치로 어떤 취약점이 해결되나요?

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다.

없음

베어메탈용 GKE

설명 심각도

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다.

베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다.

어떻게 해야 하나요?

베어메탈용 GKE는 영향을 받지 않지만 secrets-store-csi-driver 구성요소를 설치했으면 패치 버전으로 설치를 업데이트해야 합니다.

이 패치로 어떤 취약점이 해결되나요?

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 취약점(CVE-2023-2878)이 발견되었습니다. 그러면 이러한 토큰이 외부 클라우드 제공업체와 교환되어 Cloud Vault 솔루션에 저장된 보안 비밀에 액세스할 수 있습니다. 토큰은 TokenRequest가 CSIDriver 객체에 구성되고 드라이버가 -v 플래그를 통해 로그 수준 2 이상에서 실행되도록 설정된 경우에만 로깅됩니다.

없음

GCP-2023-008

게시: 2023년 6월 5일
참조: CVE-2023-1872

GKE

설명 심각도

Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다. GKE Standard 및 Autopilot 클러스터가 영향을 받습니다.

GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

어떻게 해야 하나요?

다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. io_file_get_fixed 함수에는 ctx->uring_lock이 없으므로 고정 파일이 등록되지 않은 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다.

높음

VMware용 GKE

설명 심각도

Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다.

어떻게 해야 하나요?

이 패치로 어떤 취약점이 해결되나요?

CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. io_file_get_fixed 함수에는 ctx->uring_lock이 없으므로 고정 파일이 등록되지 않은 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다.

높음

AWS용 GKE

설명 심각도

Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다.

어떻게 해야 하나요?

다음 AWS 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다.

  • 1.15.1
  • 이 패치로 어떤 취약점이 해결되나요?

    CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. io_file_get_fixed 함수에는 ctx->uring_lock이 없으므로 고정 파일이 등록되지 않은 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다.

    높음

    Azure용 GKE

    설명 심각도

    Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다.

    어떻게 해야 하나요?

    다음 Azure 기반 GKE 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다.

  • 1.15.1
  • 이 패치로 어떤 취약점이 해결되나요?

    CVE-2023-1872는 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 io_uring 하위 시스템의 use-after-free 취약점입니다. io_file_get_fixed 함수에는 ctx->uring_lock이 없으므로 고정 파일이 등록되지 않은 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다.

    높음

    베어메탈용 GKE

    설명 심각도

    Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다.

    베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다.

    어떻게 해야 하나요?

    어떤 조치도 필요하지 않습니다.

    없음

    GCP-2023-005

    게시: 2023년 5월 18일
    업데이트: 2023년 6월 6일
    참조: CVE-2023-1281, CVE-2023-1829

    2023년 6월 6일 업데이트: CVE-2023-1281 및 CVE-2023-1829를 패치하는 최신 Ubuntu 버전이 포함되도록 새 GKE 버전이 업데이트되었습니다.

    GKE

    업데이트: 2023년 6월 6일

    설명 심각도

    Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다. GKE Standard 클러스터가 영향을 받습니다.

    GKE Autopilot 클러스터와 GKE Sandbox를 사용하는 클러스터는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    2023년 6월 6일 업데이트: Ubuntu 패치 버전이 제공됩니다.

    CVE-2023-1281 및 CVE-2023-1829를 패치를 적용하는 최신 Ubuntu 버전이 포함되도록 다음 GKE 버전이 업데이트되었습니다.

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 클러스터와 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다.

    CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다.

    CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 tcf_exts_exec()를 호출하면 use-after-free가 발생합니다. 로컬 공격자가 이 취약점을 사용하여 권한을 루트로 승격할 수 있습니다.

    높음

    VMware용 GKE

    설명 심각도

    Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다.

    어떻게 해야 하나요?

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다.

    CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다.

    CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 tcf_exts_exec()를 호출하면 use-after-free가 발생합니다. 로컬 공격자가 이 취약점을 사용하여 권한을 루트로 승격할 수 있습니다.

    높음

    AWS용 GKE

    설명 심각도

    Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다.

    어떻게 해야 하나요?

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다.

    CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다.

    CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 tcf_exts_exec()를 호출하면 use-after-free가 발생합니다. 로컬 공격자가 이 취약점을 사용하여 권한을 루트로 승격할 수 있습니다.

    높음

    Azure용 GKE

    설명 심각도

    Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다.

    어떻게 해야 하나요?

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2023-1281 및 CVE-2023-1829 모두 로컬 권한 에스컬레이션을 위해 악용될 수 있는 Linux 커널 트래픽 제어 색인 필터(tcindex)의 use-after-free 취약점입니다.

    CVE-2023-1829에서는 tcindex_delete 함수가 나중에 데이터 구조가 해제될 수 있는 특정한 경우에 필터를 올바르게 비활성화하지 않습니다.

    CVE-2023-1281에서는 패킷이 통과하는 동안 불완전한 해시 영역이 업데이트될 수 있으므로 폐기된 tcf_ext로 tcf_exts_exec()를 호출하면 use-after-free가 발생합니다. 로컬 공격자가 이 취약점을 사용하여 권한을 루트로 승격할 수 있습니다.

    높음

    베어메탈용 GKE

    설명 심각도

    Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다.

    베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다.

    어떻게 해야 하나요?

    어떤 조치도 필요하지 않습니다.

    없음

    GCP-2023-003

    게시: 2023년 4월 11일
    업데이트: 2023년 12월 21일
    참조: CVE-2023-0240, CVE-2023-23586

    2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

    GKE

    업데이트: 2023년 12월 21일

    설명 심각도

    2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

    Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. Linux 커널 버전 5.10~5.10.162를 사용하는 COS가 있는 Autopilot 클러스터 등 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하거나 GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    다음 GKE 버전은 취약점이 해결되도록 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 노드 풀을 다음 GKE 버전 중 하나로 직접 업그레이드하는 것이 좋습니다.

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    취약점 1(CVE-2023-0240): io_uring의 경합 상태로 인해 전체 컨테이너가 노드의 루트로 침입할 수 있습니다. Linux 커널 버전 5.10은 5.10.162까지 영향을 받습니다.

    취약점 2(CVE-2023-23586): io_uring/time_ns에서 use-after-free(UAF)를 사용하면 전체 컨테이너가 노드의 루트로 침입할 수 있습니다. Linux 커널 버전 5.10은 5.10.162까지 영향을 받습니다.

    높음

    VMware용 GKE

    설명 심각도

    Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. Linux 커널 버전 5.10~5.10.162를 사용하는 COS가 있는 VMware용 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하는 GKE Enterprise 클러스터는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    다음 VMware용 GKE 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다.

    • 1.12.6
    • 1.13.5

    이 패치로 어떤 취약점이 해결되나요?

    취약점 1(CVE-2023-0240): io_uring의 경합 상태로 인해 전체 컨테이너가 노드의 루트로 침입할 수 있습니다. Linux 커널 버전 5.10은 5.10.162까지 영향을 받습니다.

    취약점 2(CVE-2023-23586): io_uring/time_ns에서 use-after-free(UAF)를 사용하면 전체 컨테이너가 노드의 루트로 침입할 수 있습니다. Linux 커널 버전 5.10은 5.10.162까지 영향을 받습니다.

    높음

    AWS용 GKE

    설명 심각도

    Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. AWS 기반 GKE는 이 CVE의 영향을 받지 않습니다.

    어떻게 해야 하나요?

    어떤 조치도 필요하지 않습니다.

    없음

    Azure용 GKE

    설명 심각도

    Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. Azure 기반 GKE는 이러한 CVE의 영향을 받지 않습니다.

    어떻게 해야 하나요?

    어떤 조치도 필요하지 않습니다.

    없음

    베어메탈용 GKE

    설명 심각도

    Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다. 베어메탈용 GKE는 이 CVE의 영향을 받지 않습니다.

    어떻게 해야 하나요?

    어떤 조치도 필요하지 않습니다.

    없음

    GCP-2023-001

    게시: 2023년 3월 1일
    업데이트: 2023년 12월 21일
    참조: CVE-2022-4696

    2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

    GKE

    설명 심각도

    2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

    Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 클러스터와 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-4696에서는 Linux 커널의 io_uring 및 ioring_op_splice에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 로컬 권한 에스컬레이션을 만들 수 있습니다.

    높음

    VMware용 GKE

    설명 심각도

    Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. v1.12 및 v1.13을 실행하는 VMware용 GKE가 영향을 받습니다. v1.14 이상을 실행하는 VMware용 GKE는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.12.5
    • 1.13.5

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-4696에서는 Linux 커널의 io_uring 및 ioring_op_splice에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 로컬 권한 에스컬레이션을 만들 수 있습니다.

    높음

    AWS용 GKE

    설명 심각도

    Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. AWS 기반 GKE는 이 취약점의 영향을 받지 않습니다.

    어떻게 해야 하나요?

    별도의 조치가 필요하지 않습니다.

    없음

    Azure용 GKE

    설명 심각도

    Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. Azure 기반 GKE는 이 취약점의 영향을 받지 않습니다.

    어떻게 해야 하나요?

    별도의 조치가 필요하지 않습니다.

    없음

    베어메탈용 GKE

    설명 심각도

    Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다. 베어메탈용 GKE는 이 취약점의 영향을 받지 않습니다.

    어떻게 해야 하나요?

    별도의 조치가 필요하지 않습니다.

    없음

    GCP-2022-026

    게시: 2023-01-11
    참조: CVE-2022-3786, CVE-2022-3602

    GKE

    설명 심각도

    OpenSSL v3.0.6에서 비정상 종료를 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다. NVD 데이터베이스에서 높음으로 평가되었지만 GKE 엔드포인트가 boringSSL 또는 영향을 받지 않는 이전 버전의 OpenSSL을 사용하므로 GKE에서 평점이 보통으로 낮아졌습니다.

    어떻게 해야 하나요?

    다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다.

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-3786 및 CVE-2022-3602를 사용하면 X.509 인증서 확인에서 버퍼 오버런이 트리거되어 비정상 종료를 초래함으로써 서비스 거부가 발생할 수 있습니다. 이 취약점을 악용하려면 CA가 악의적인 인증서에 서명했거나 신뢰할 수 있는 발급자에 대한 경로를 구성하지 못하더라도 애플리케이션이 인증서 확인을 계속 진행해야 합니다.

    중간 규모

    VMware용 GKE

    설명 심각도

    OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

    어떻게 해야 하나요?

    VMware용 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다.

    이 패치로 어떤 취약점이 해결되나요?

    어떤 조치도 필요하지 않습니다.

    없음

    AWS용 GKE

    설명 심각도

    OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

    어떻게 해야 하나요?

    AWS 기반 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다.

    이 패치로 어떤 취약점이 해결되나요?

    어떤 조치도 필요하지 않습니다.

    없음

    Azure용 GKE

    설명 심각도

    OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

    어떻게 해야 하나요?

    Azure 기반 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다.

    이 패치로 어떤 취약점이 해결되나요?

    어떤 조치도 필요하지 않습니다.

    없음

    베어메탈용 GKE

    설명 심각도

    OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

    어떻게 해야 하나요?

    베어메탈용 GKE는 영향을 받는 OpenSSL 버전을 사용하지 않으므로 이 CVE의 영향을 받지 않습니다.

    이 패치로 어떤 취약점이 해결되나요?

    어떤 조치도 필요하지 않습니다.

    없음

    GCP-2022-025

    게시: 2022년 12월 21일
    업데이트: 2023년 1월 19일, 2023년 12월 21일
    참조: CVE-2022-2602

    2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

    2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있습니다.

    GKE

    업데이트: 2023년 1월 19일

    설명 심각도

    2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

    Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다.

    GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    2023년 1월 19일 업데이트: 버전 1.21.14-gke.14100을 사용할 수 있습니다. 노드 풀을 이 버전 이상으로 업그레이드하세요.


    다음 버전의 GKE는 향후 버전에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.

    • Container-Optimized OS:
      • 1.22.16-gke.1300 이상
      • 1.23.14-gke.401 이상
      • 1.24.7-gke.900 이상
      • 1.25.4-gke.1600 이상
    • Ubuntu:
      • 1.22.15-gke.2500 이상
      • 1.23.13-gke.900 이상
      • 1.24.7-gke.900 이상
      • 1.25.3-gke.800 이상

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 사용하여 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다.

    높음

    VMware용 GKE

    설명 심각도

    Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다.

    VMware용 GKE 버전 1.11, 1.12, 1.13이 영향을 받습니다.

    어떻게 해야 하나요?

    클러스터를 패치 버전으로 업그레이드합니다. 다음 VMware용 GKE 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다.

    • 1.13.2
    • 1.12.4
    • 1.11.5

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 사용하여 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다.

    높음

    AWS용 GKE

    설명 심각도

    Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다.

    어떻게 해야 하나요?

    다음과 같은 AWS 기반 GKE의 현재 및 이전 세대 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 현재 세대:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • 이전 세대:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 사용하여 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다.

    높음

    Azure용 GKE

    설명 심각도

    Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다.

    어떻게 해야 하나요?

    다음 Azure 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-2602에서는 io_uring 요청 처리와 Unix 소켓 가비지 컬렉션 간의 경합 상태로 인해 use-after-free 취약점이 발생할 수 있습니다. 로컬 공격자가 이를 사용하여 서비스 거부를 트리거하거나 임의 코드를 실행할 수 있습니다.

    높음

    베어메탈용 GKE

    설명 심각도

    Linux 커널의 io_uring 하위 시스템에서 공격자가 임의의 코드를 실행할 수 있는 새로운 취약점(CVE-2022-2602)이 발견되었습니다.

    베어메탈용 GKE는 배포판에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다.

    어떻게 해야 하나요?

    어떤 조치도 필요하지 않습니다.

    없음

    GCP-2022-024

    게시: 2022년 11월 9일
    업데이트: 2023년 1월 19일
    참조: CVE-2022-2585, CVE-2022-2588

    2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있습니다.
    2022년 12월 16일 업데이트: GKE 및 VMware용 GKE의 수정된 패치 버전이 추가되었습니다.

    GKE

    업데이트: 2023년 1월 19일

    설명 심각도

    Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다.

    GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    2023년 1월 19일 업데이트: 버전 1.21.14-gke.14100을 사용할 수 있습니다. 노드 풀을 이 버전 이상으로 업그레이드하세요.

    2022년 12월 16일 업데이트: 출시 회귀로 인해 이전 버전의 게시판이 수정되었습니다. 노드 풀을 다음 GKE 버전 중 하나로 수동으로 업그레이드하세요.

    • 1.22.16-gke.1300 이상
    • 1.23.14-gke.401 이상
    • 1.24.7-gke.900 이상
    • 1.25.4-gke.1600 이상

    다음 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    GKE v1.22, 1.23, 1.25에 대한 업데이트가 곧 제공될 예정입니다. 보안 게시판이 출시되면 업데이트됩니다.

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    • CVE-2022-2585에서는 posix CPU 타이머의 타이머를 부적절하게 정리함으로 인해 타이머가 생성되고 삭제되는 방식에 따라 use-after-free 악용이 발생할 수 있습니다.
    • CVE-2022-2588에서는 Linux 커널의 route4_change에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 시스템을 비정상 종료할 수 있으며 이로 인해 로컬 권한 에스컬레이션이 발생할 수 있습니다.
    높음

    VMware용 GKE

    업데이트: 2022-12-16

    설명 심각도

    Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다.

    VMware용 GKE 버전 1.13, 1.12, 1.11이 영향을 받습니다.

    어떻게 해야 하나요?

    2022년 12월 16일 업데이트: 다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • 참고: Container-Optimized OS 패치가 포함된 VMware용 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 VMware용 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    • CVE-2022-2585에서는 posix CPU 타이머의 타이머를 부적절하게 정리함으로 인해 타이머가 생성되고 삭제되는 방식에 따라 use-after-free 악용이 발생할 수 있습니다.
    • CVE-2022-2588에서는 Linux 커널의 route4_change에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 시스템을 비정상 종료할 수 있으며 이로 인해 로컬 권한 에스컬레이션이 발생할 수 있습니다.
    높음

    AWS용 GKE

    설명 심각도

    Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다.

    다음 버전의 Kubernetes on AWS가 영향을 받을 수 있습니다.

    • 1.23: 1.23.9-gke.800 이전 버전. 최신 부 버전은 영향을 받지 않습니다.
    • 1.22: 1.22.12-gke.1100 이전 버전. 최신 부 버전은 영향을 받지 않습니다.

    Kubernetes V1.24는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    클러스터를 다음 AWS Kubernetes 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.23: v1.23.9-gke.800 이상의 버전.
    • 1.22: 1.22.12-gke-1100 이후 버전.

    해결되는 취약점은 무엇인가요?

    CVE-2022-2585에서는 posix CPU 타이머의 타이머를 부적절하게 정리함으로 인해 타이머가 생성되고 삭제되는 방식에 따라 use-after-free 악용이 발생할 수 있습니다.

    CVE-2022-2588에서는 Linux 커널의 route4_change에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 시스템을 비정상 종료할 수 있으며 이로 인해 로컬 권한 에스컬레이션이 발생할 수 있습니다.

    높음

    Azure용 GKE

    설명 심각도

    Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다.

    영향을 받을 수 있는 Azure의 Kubernetes 버전은 다음과 같습니다.

    • 1.23: 1.23.9-gke.800 이전 버전. 최신 부 버전은 영향을 받지 않습니다.
    • 1.22: 1.22.12-gke.1100 이전 버전. 최신 부 버전은 영향을 받지 않습니다.

    Kubernetes V1.24는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    클러스터를 다음 Azure Kubernetes 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.23: v1.23.9-gke.800 이상의 버전.
    • 1.22: 1.22.12-gke-1100 이후 버전.

    해결되는 취약점은 무엇인가요?

    CVE-2022-2585에서는 posix CPU 타이머의 타이머를 부적절하게 정리함으로 인해 타이머가 생성되고 삭제되는 방식에 따라 use-after-free 악용이 발생할 수 있습니다.

    CVE-2022-2588에서는 Linux 커널의 route4_change에서 use-after-free 결함이 발견되었습니다. 이 결함으로 인해 로컬 사용자가 시스템을 비정상 종료할 수 있으며 이로 인해 로컬 권한 에스컬레이션이 발생할 수 있습니다.

    높음

    베어메탈용 GKE

    설명 심각도

    Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다.

    베어메탈용 Anthos 클러스터는 배포판에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다.

    어떻게 해야 하나요?

    어떤 조치도 필요하지 않습니다.

    없음

    GCP-2022-023

    게시: 2022년 11월 4일
    참조: CVE-2022-39278

    GKE

    설명 심각도

    Anthos Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 제어 영역을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다.

    어떻게 해야 하나요?

    Google Kubernetes Engine(GKE)은 Istio와 함께 제공되지 않으므로 이 취약점의 영향을 받지 않습니다. 하지만 별도로 GKE 클러스터에 Anthos Service Mesh 또는 Istio를 설치한 경우 이 CVE에 대한 Anthos Service Mesh 보안 게시판 GCP-2022-020에서 자세한 내용을 참조하세요.

    없음

    VMware용 GKE

    설명 심각도

    VMware용 GKE의 Anthos Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 Istio 제어 영역을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다.

    어떻게 해야 하나요?

    다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 및 사용자 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.11.4
    • 1.12.3
    • 1.13.1

    이 패치로 어떤 취약점이 해결되나요?

    취약점 CVE-2022-39278이 있을 경우 Istio 제어 영역 istiod가 요청 처리 오류에 취약할 수 있어 클러스터의 검증 웹훅이 공개적으로 노출될 때 악의적인 공격자가 특수하게 조작된 메시지를 보내 제어 영역이 비정상 종료될 수 있습니다. 이 엔드포인트는 TLS 포트 15017을 통해 제공되지만 공격자의 인증이 필요하지 않습니다.

    높음

    AWS용 GKE

    설명 심각도

    Anthos Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 제어 영역을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다.

    어떻게 해야 하나요?

    AWS 기반 GKE는 이 취약점의 영향을 받지 않으며 별도의 작업이 필요하지 않습니다.

    없음

    Azure용 GKE

    설명 심각도

    Anthos Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 제어 영역을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다.

    어떻게 해야 하나요?

    Azure 기반 GKE는 이 취약점의 영향을 받지 않으므로 별도의 조치가 필요하지 않습니다.

    없음

    베어메탈용 GKE

    설명 심각도

    베어메탈용 GKE의 Anthos Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 Istio 제어 영역을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다.

    어떻게 해야 하나요?

    다음 베어메탈용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 베어메탈용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.11.7
    • 1.12.4
    • 1.13.1

    이 패치로 어떤 취약점이 해결되나요?

    취약점 CVE-2022-39278이 있을 경우 Istio 제어 영역 istiod가 요청 처리 오류에 취약할 수 있어 클러스터의 검증 웹훅이 공개적으로 노출될 때 악의적인 공격자가 특수하게 조작된 메시지를 보내 제어 영역이 비정상 종료될 수 있습니다. 이 엔드포인트는 TLS 포트 15017을 통해 제공되지만 공격자의 인증이 필요하지 않습니다.

    높음

    GCP-2022-022-updated

    게시: 2022-12-08
    참조: CVE-2022-20409

    GKE

    업데이트: 2022년 12월 14일

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다. Container-Optimized OS 버전 93 및 97을 사용하는 Autopilot 클러스터를 포함한 Google Kubernetes Engine(GKE) v1.22, v1.23, v1.24 클러스터가 영향을 받습니다. 지원되는 다른 GKE 버전은 영향을 받지 않습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    2022년 12월 14일 업데이트: 출시 회귀로 인해 이전 버전의 게시판이 수정되었습니다. 노드 풀을 다음 GKE 버전 중 하나로 수동으로 업그레이드하세요.

    • 1.22.15-gke.2500 이상
    • 1.23.13-gke.900 이상
    • 1.24.7-gke.900 이상

    Container-Optimized OS 버전 93 및 97을 사용하는 다음 버전의 GKE는 향후 버전에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.

    • 1.22.15-gke.2300 이상
    • 1.23.13-gke.700 이상
    • 1.24.7-gke.700 이상

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이 기능을 사용하면 새 버전이 버전별 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-20409에서는 Linux 커널에 io_uring 하위 시스템의 io_identity_cow에 취약점이 있습니다. UAF(Use-After-Free) 취약점으로 인해 메모리 손상이 발생할 가능성이 있습니다. 로컬 공격자가 이 메모리 손상을 사용하여 서비스 거부(시스템 비정상 종료)를 일으키거나 임의 코드를 실행할 수 있습니다.

    높음

    VMware용 GKE

    업데이트: 2022년 12월 14일

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다.

    어떻게 해야 하나요?

    2022년 12월 14일 업데이트: 다음 버전의 Ubuntu용 VMware용 GKE가 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.13.1 이상
    • 1.12.3 이상
    • 1.11.4 이상

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-20409에서는 Linux 커널에 io_uring 하위 시스템의 io_identity_cow에 취약점이 있습니다. UAF(Use-After-Free) 취약점으로 인해 메모리 손상이 발생할 가능성이 있습니다. 로컬 공격자가 이 메모리 손상을 사용하여 서비스 거부(시스템 비정상 종료)를 일으키거나 임의 코드를 실행할 수 있습니다.

    높음

    AWS용 GKE

    설명 심각도

    Linux 커널에서 권한 없는 사용자가 시스템 실행 권한으로 에스컬레이션할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다.

    어떻게 해야 하나요?

    별도로 취해야 할 조치는 없습니다. AWS 기반 GKE는 영향을 받는 Linux 커널 버전을 사용하지 않습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-20409에서는 Linux 커널에 io_uring 하위 시스템의 io_identity_cow에 취약점이 있습니다. UAF(Use-After-Free) 취약점으로 인해 메모리 손상이 발생할 가능성이 있습니다. 로컬 공격자가 이 메모리 손상을 사용하여 서비스 거부(시스템 비정상 종료)를 일으키거나 임의 코드를 실행할 수 있습니다.

    없음

    Azure용 GKE

    설명 심각도

    Linux 커널에서 권한 없는 사용자가 시스템 실행 권한으로 에스컬레이션할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다.

    어떻게 해야 하나요?

    별도로 취해야 할 조치는 없습니다. Azure 기반 GKE는 영향을 받는 Linux 커널 버전을 사용하지 않습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-20409에서는 Linux 커널에 io_uring 하위 시스템의 io_identity_cow에 취약점이 있습니다. UAF(Use-After-Free) 취약점으로 인해 메모리 손상이 발생할 가능성이 있습니다. 로컬 공격자가 이 메모리 손상을 사용하여 서비스 거부(시스템 비정상 종료)를 일으키거나 임의 코드를 실행할 수 있습니다.

    없음

    베어메탈용 GKE

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다.

    어떻게 해야 하나요?

    • 별도로 취해야 할 조치는 없습니다. 베어메탈용 GKE는 배포에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다.
    없음

    GCP-2022-021

    게시: 2022년 10월 27일
    업데이트: 2023년 1월 19일, 2023년 12월 21일
    참조: CVE-2022-3176

    2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

    2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있습니다.
    2022년 12월 15일 업데이트: Google Kubernetes Engine 버전 1.21.14-gke.9400은 출시 대기 중이며 더 높은 버전 번호로 대체될 수 있다는 정보가 업데이트되었습니다.
    2022년 11월 21일 업데이트: VMware용 GKE, AWS 기반 GKE, Azure 기반 GKE의 패치 버전이 추가되었습니다.

    GKE

    업데이트: 2023년 1월 19일, 2023년 12월 21일

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

    2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

    Container-Optimized OS 버전 89를 사용하는 Autopilot 클러스터를 포함한 Google Kubernetes Engine(GKE) v1.21 클러스터가 영향을 받습니다. 최신 버전의 GKE는 영향을 받지 않습니다. Ubuntu를 사용하는 모든 Linux 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    2023년 1월 19일 업데이트: 버전 1.21.14-gke.14100을 사용할 수 있습니다. 노드 풀을 이 버전 이상으로 업그레이드하세요.

    2022년 12월 15일 업데이트: 버전 1.21.14-gke.9400은 출시 대기 중이며 더 높은 버전 번호로 대체될 수 있습니다. 해당 새 버전이 사용 가능해지면 이 문서가 업데이트됩니다.


    다음 버전의 GKE는 향후 버전에서 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.

    • Container-Optimized OS:
      • 1.21.14-gke.7100 이상
    • Ubuntu:
      • 1.21.14-gke.9400 이상
      • 1.22.15-gke.2400 이상
      • 1.23.13-gke.800 이상
      • 1.24.7-gke.800 이상
      • 1.25.3-gke.700 이상

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이 기능을 사용하면 새 버전이 버전별 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-3176에서는 Linux 커널의 io_uring 하위 시스템에 취약점이 있습니다. POLLFREE 처리가 누락되면 권한 에스컬레이션에 사용할 수 있는 UAF(Use-After-Free) 악용이 발생할 수 있습니다.

    높음

    VMware용 GKE

    업데이트: 2022년 11월 21일

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    • Container-Optimized OS를 사용하는 VMware용 GKE 버전은 영향을 받지 않습니다.

    2022년 11월 21일 업데이트: 다음 버전의 Ubuntu용 VMware용 GKE가 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.12.3 이상
    • 1.13.1 이상
    • 1.11.5 이상

    Ubuntu 패치가 포함된 VMware용 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 VMware용 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-3176에서는 Linux 커널의 io_uring 하위 시스템에 취약점이 있습니다. POLLFREE 처리가 누락되면 권한 에스컬레이션에 사용할 수 있는 UAF(Use-After-Free) 악용이 발생할 수 있습니다.

    높음

    AWS용 GKE

    업데이트: 2022년 11월 21일

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    2022년 11월 21일 업데이트: 다음과 같은 AWS 기반 GKE의 현재 및 이전 세대 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    현재 세대
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    이전 세대
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Ubuntu 패치가 포함된 AWS 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 AWS 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-3176에서는 Linux 커널의 io_uring 하위 시스템에 취약점이 있습니다. POLLFREE 처리가 누락되면 권한 에스컬레이션에 사용할 수 있는 UAF(Use-After-Free) 악용이 발생할 수 있습니다.

    높음

    Azure용 GKE

    업데이트: 2022년 11월 21일

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    2022년 11월 21일 업데이트: 다음 버전의 Azure 기반 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Ubuntu 패치가 포함된 Azure 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 Azure 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-3176에서는 Linux 커널의 io_uring 하위 시스템에 취약점이 있습니다. POLLFREE 처리가 누락되면 권한 에스컬레이션에 사용할 수 있는 UAF(Use-After-Free) 악용이 발생할 수 있습니다.

    높음

    베어메탈용 GKE

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    어떤 조치도 필요하지 않습니다. 베어메탈용 GKE는 배포에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다.

    없음

    GCP-2022-018

    게시: 2022년 8월 1일
    업데이트: 2022년 9월 14일, 2023년 12월 21일
    참조: CVE-2022-2327

    2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.

    2022년 9월 14일 업데이트: VMware용 GKE, AWS 기반 GKE, Azure 기반 GKE의 패치 버전이 추가되었습니다.

    GKE

    업데이트: 2023년 12월 21일

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

    기술 세부정보

    2023년 12월 21일 업데이트: 원본 게시판에서 Autopilot 클러스터가 영향을 받았다고 설명했지만 잘못된 내용이었습니다. 기본 구성의 GKE Autopilot 클러스터는 영향을 받지 않지만, 명시적으로 seccomp Unconfined 프로필을 설정하거나 CAP_NET_ADMIN을 허용하는 경우 취약점이 발생할 수 있습니다.

    Linux 커널 버전 5.10을 사용하는 Container-Optimized OS(COS)가 있는 Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하거나 GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    수정사항이 포함된 버전으로 GKE 클러스터를 업그레이드합니다. COS용 Linux 노드 이미지가 해당 COS 버전을 사용하여 GKE 버전과 함께 업데이트되었습니다.

    보안 유지를 위해, 노드 자동 업그레이드가 사용 설정되어 있는 경우라고 해도 노드 풀을 다음 GKE 버전 중 하나로 수동 업그레이드하는 것이 좋습니다.

    COS 버전

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 선택한 출시 채널에서 해당 버전이 기본 버전이 되기 전에 노드를 패치 버전으로 업그레이드할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-2327에서는 버전 5.10의 Linux 커널에 다양한 요청의 항목 유형(플래그)이 누락되는 io_uring 하위 시스템 취약점이 있습니다. 적절한 항목 유형을 지정하지 않고 이러한 요청을 사용하면 루트로의 권한 에스컬레이션이 발생할 수 있습니다.
    높음

    VMware용 GKE

    업데이트: 2022년 9월 14일

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

    VMware용 GKE 버전 1.10, 1.11, 1.12를 사용하는 Container-Optimized OS(COS) 이미지가 있는 클러스터가 영향을 받습니다.

    어떻게 해야 하나요?

    2022년 9월 14일 업데이트: 다음 VMware용 GKE 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다.

    • 1.10.6 이상
    • 1.11.3 이상
    • 1.12.1 이상

    패치가 포함된 VMware용 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 VMware용 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-2327에서는 버전 5.10의 Linux 커널에 다양한 요청의 항목 유형(플래그)이 누락되는 io_uring 하위 시스템 취약점이 있습니다. 적절한 항목 유형을 지정하지 않고 이러한 요청을 사용하면 루트로의 권한 에스컬레이션이 발생할 수 있습니다.

    높음

    AWS용 GKE

    업데이트: 2022년 9월 14일

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    2022년 9월 14일 업데이트: AWS 기반 GKE의 현재 및 이전 세대 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    현재 세대

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    이전 세대

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    패치가 포함된 AWS 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 AWS 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-2327에서는 버전 5.10의 Linux 커널에 다양한 요청의 항목 유형(플래그)이 누락되는 io_uring 하위 시스템 취약점이 있습니다. 적절한 항목 유형을 지정하지 않고 이러한 요청을 사용하면 루트로의 권한 에스컬레이션이 발생할 수 있습니다.

    높음

    Azure용 GKE

    업데이트: 2022년 9월 14일

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    2022년 9월 14일 업데이트: 다음 버전의 Azure 기반 GKE는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    패치가 포함된 Azure 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 Azure 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-2327에서는 버전 5.10의 Linux 커널에 다양한 요청의 항목 유형(플래그)이 누락되는 io_uring 하위 시스템 취약점이 있습니다. 적절한 항목 유형을 지정하지 않고 이러한 요청을 사용하면 루트로의 권한 에스컬레이션이 발생할 수 있습니다.

    높음

    베어메탈용 Google Distributed Cloud Virtual

    설명 심각도

    Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    별도로 취해야 할 조치는 없습니다. 베어메탈용 Google Distributed Cloud Virtual은 배포에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다.

    없음

    GCP-2022-017

    게시: 2022년 6월 29일
    업데이트: 2022년 11월 22일
    참조: CVE-2022-1786
    2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드에 대한 정보가 업데이트되었습니다.
    2022년 7월 21일 업데이트: VMware용 GKE COS 이미지에 영향을 주는 정보가 업데이트되었습니다.

    GKE

    업데이트: 2022년 11월 22일

    설명 심각도

    2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드는 이러한 취약점의 영향을 받지 않습니다.


    Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. Container-Optimized OS를 실행하는 클러스터만 영향을 받습니다. GKE Ubuntu 버전은 커널 5.4 또는 5.15 버전을 사용하며 영향을 받지 않습니다.

    어떻게 해야 하나요?

    다음 GKE 버전에 대한 Container-Optimized OS용 Linux 노드 이미지 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 향후 출시될 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    최근 출시 채널 기능을 사용하면 채널을 구독 취소하지 않고 패치를 적용할 수 있습니다. 이렇게 하면 선택한 출시 채널에서 해당 버전이 기본 버전이 되기 전에 노드를 패치 버전으로 업그레이드할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-1786을 사용하면 Linux 커널의 io_uring 하위 시스템에서 use-after-free 결함이 발견되었습니다. 사용자가 링에서 제출을 완료하는 태스크가 둘 이상 있는 IORING_SETUP_IOPOLL로 링을 설정하면 로컬 사용자는 비정상 종료되거나 시스템에 대한 권한을 확대할 수 있습니다.

    높음

    VMware용 GKE

    업데이트: 2022년 7월 14일

    설명 심각도

    Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    2022년 7월 21일 업데이트: 다음 VMware용 GKE 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다.

    COS
    • 1.10.5 이상
    • 1.11.2 이상
    • 1.12.0 이상

    Ubuntu

    별도로 취해야 할 조치는 없습니다. VMware용 GKE는 영향을 받는 Linux 커널 버전을 사용하지 않습니다.

    없음

    AWS용 GKE

    설명 심각도

    Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    별도로 취해야 할 조치는 없습니다. AWS 기반 GKE는 영향을 받는 Linux 커널 버전을 사용하지 않습니다.

    없음

    Azure용 GKE

    설명 심각도

    Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    별도로 취해야 할 조치는 없습니다. Azure 기반 GKE는 영향을 받는 Linux 커널 버전을 사용하지 않습니다.

    없음

    베어메탈용 Google Distributed Cloud Virtual

    설명 심각도

    Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    별도로 취해야 할 조치는 없습니다. 베어메탈용 Google Distributed Cloud Virtual은 배포에서 운영체제를 번들로 제공하지 않으므로 이 CVE의 영향을 받지 않습니다.

    없음

    GCP-2022-016

    게시: 2022년 6월 23일
    업데이트: 2022년 11월 22일
    참조: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
    2022년 11월 22일 업데이트: Autopilot 클러스터에서 실행되는 워크로드에 대한 정보가 추가되었습니다.
    2022년 7월 29일 업데이트: VMware용 GKE, AWS 기반 GKE, Azure 기반 GKE의 버전이 업데이트되었습니다.

    GKE

    업데이트: 2022년 11월 22일

    설명 심각도

    2022년 11월 22일 업데이트: Autopilot 클러스터는 CVE-2022-29581의 영향을 받지 않지만 CVE-2022-29582 및 CVE-2022-1116에 취약합니다.


    2022년 7월 29일 업데이트: GKE Sandbox를 사용하는 포드는 이 취약점에 취약하지 않습니다.


    Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 모든 Linux 클러스터(Container-Optimized OS 및 Ubuntu)가 영향을 받습니다.

    어떻게 해야 하나요?

    다음 GKE버전에 대한 Container-Optimized OS와 Ubuntu의 Linux 노드 이미지 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 선택한 출시 채널에서 해당 버전이 기본 버전이 되기 전에 노드를 패치 버전으로 업그레이드할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-29582를 사용하는 경우 5.17.3 이전 버전의 Linux 커널은 io_uring 제한 시간 내에 경합 상태로 인해 use-after-free를 사용합니다.

    CVE-2022-29581 및 CVE-2022-1116은 로컬 공격자가 io_uring의 메모리 손상 또는 Linux 커널의 net/sched를 발생시켜 루트로 권한을 확대할 수 있는 취약점입니다.

    높음

    VMware용 GKE

    업데이트: 2022년 7월 29일

    설명 심각도

    2022년 7월 29일 업데이트: 다음 VMware용 GKE 버전에는 이러한 취약점을 해결하는 코드가 포함되어 있습니다.

    • 1.9.7 이상
    • 1.10.5 이상
    • 1.11.2 이상
    • 1.12.0 이상


    Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 이러한 취약점은 Container-Optimized OS와 Ubuntu 이미지의 VMware용 GKE v1.9 이상에 영향을 줍니다.

    어떻게 해야 하나요?

    패치가 포함된 VMware용 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 VMware용 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-29582를 사용하는 경우 5.17.3 이전 버전의 Linux 커널은 io_uring 제한 시간 내에 경합 상태로 인해 use-after-free를 사용합니다.

    CVE-2022-29581 및 CVE-2022-1116은 로컬 공격자가 io_uring의 메모리 손상 또는 Linux 커널의 net/sched를 발생시켜 루트로 권한을 확대할 수 있는 취약점입니다.

    높음

    AWS용 GKE

    업데이트: 2022년 7월 29일

    설명 심각도

    2022년 7월 29일 업데이트: 업데이트: 다음과 같은 AWS 기반 GKE의 현재 및 이전 세대 버전이 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    현재 세대:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    이전 세대:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 이러한 취약점은 모든 버전의 AWS 기반 GKE에 영향을 미칩니다.

    어떻게 해야 하나요?

    패치가 포함된 AWS 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 AWS 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-29582를 사용하는 경우 5.17.3 이전 버전의 Linux 커널은 io_uring 제한 시간 내에 경합 상태로 인해 use-after-free를 사용합니다.

    CVE-2022-29581 및 CVE-2022-1116은 로컬 공격자가 io_uring의 메모리 손상 또는 Linux 커널의 net/sched를 발생시켜 루트로 권한을 확대할 수 있는 취약점입니다.

    높음

    Azure용 GKE

    설명 심각도

    2022년 7월 29일 업데이트: 업데이트: 다음 버전의 Azure 기반 GKE는 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 이러한 취약점은 모든 버전의 Azure 기반 GKE에 영향을 미칩니다.

    어떻게 해야 하나요?

    패치가 포함된 Azure 기반 GKE 버전이 곧 출시됩니다. 이 보안 게시판은 Azure 기반 GKE 버전을 다운로드할 수 있게 되면 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-29582를 사용하는 경우 5.17.3 이전 버전의 Linux 커널은 io_uring 제한 시간 내에 경합 상태로 인해 use-after-free를 사용합니다.

    CVE-2022-29581 및 CVE-2022-1116은 로컬 공격자가 io_uring의 메모리 손상 또는 Linux 커널의 net/sched를 발생시켜 루트로 권한을 확대할 수 있는 취약점입니다.

    높음

    베어메탈용 Google Distributed Cloud Virtual

    설명 심각도

    Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다.

    어떻게 해야 하나요?

    별도로 취해야 할 조치는 없습니다. 베어메탈용 Google Distributed Cloud Virtual은 배포에서 운영체제를 번들로 제공하지 않으므로 이 취약점의 영향을 받지 않습니다.

    없음

    GCP-2022-014

    게시: 2022년 4월 26일
    업데이트: 2022년 11월 22일
    2022년 11월 22일 업데이트: Autopilot 클러스터에서 실행되는 워크로드에 대한 정보가 추가되었습니다.
    2022년 5월 12일 업데이트: AWS 기반 GKE 및 Azure 기반 GKE의 패치 버전이 업데이트되었습니다.
    참조: CVE-2022-1055, CVE-2022-27666

    GKE

    업데이트: 2022년 11월 22일

    설명 심각도

    2022년 11월 22일 업데이트: GKE Sandbox에서 실행되는 GKE Autopilot 클러스터 및 워크로드는 이러한 취약점의 영향을 받지 않습니다.


    Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 브레이크아웃, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다.

    기술 세부정보

    CVE-2022-1055에서 공격자는 컨테이너의 로컬 공격자가 노드에서 루트로 권한을 에스컬레이션할 수 있도록 tc_new_tfilter()의 use-after-free를 악용할 수 있습니다.

    CVE-2022-27666에서는 esp/esp6_output_head의 버퍼 오버플로로 인해 컨테이너의 로컬 공격자가 노드의 루트로 에스컬레이션할 수 있습니다.

    어떻게 해야 하나요?

    다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점이 해결되도록 코드로 업데이트되었습니다. 클러스터를 다음 GKE 버전 중 하나로 업그레이드합니다.

    • 1.19.16-gke.11000 이상
    • 1.20.15-gke.5200 이상
    • 1.21.11-gke.1100 이상
    • 1.22.8-gke.200 이상
    • 1.23.5-gke.1500 이상

    이 패치로 어떤 취약점이 해결되나요?

    높음

    VMware용 GKE

    설명 심각도

    Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 브레이크아웃, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다.

    기술 세부정보

    CVE-2022-1055에서 공격자는 컨테이너의 로컬 공격자가 노드에서 루트로 권한을 에스컬레이션할 수 있도록 tc_new_tfilter()의 use-after-free를 악용할 수 있습니다.

    CVE-2022-27666에서는 esp/esp6_output_head의 버퍼 오버플로로 인해 컨테이너의 로컬 공격자가 노드의 루트로 에스컬레이션할 수 있습니다.

    어떻게 해야 하나요?

    클러스터를 패치 버전으로 업그레이드합니다. 다음 VMware용 GKE 이상 버전에는 이 취약점의 수정 사항이 포함됩니다.

    • 1.9.6(예정)
    • 1.10.3
    • 1.11.0(예정)

    이 패치로 어떤 취약점이 해결되나요?

    높음

    AWS용 GKE

    업데이트: 2022년 5월 12일

    설명 심각도

    Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 브레이크아웃, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다.

    기술 세부정보

    CVE-2022-1055에서 공격자는 컨테이너의 로컬 공격자가 노드에서 루트로 권한을 에스컬레이션할 수 있도록 tc_new_tfilter()의 use-after-free를 악용할 수 있습니다.

    CVE-2022-27666에서는 esp/esp6_output_head의 버퍼 오버플로로 인해 컨테이너의 로컬 공격자가 노드의 루트로 에스컬레이션할 수 있습니다.

    어떻게 해야 하나요?

    2022년 5월 12일 업데이트: 다음 AWS 기반 GKE의 현재 및 이전 세대 버전이 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    현재 세대
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    이전 세대
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    클러스터를 패치 버전으로 업그레이드합니다. 패치는 향후 출시 버전에서 제공됩니다. 제공되면 이 게시판은 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    높음

    Azure용 GKE

    업데이트: 2022년 5월 12일

    설명 심각도

    Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 브레이크아웃, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다.

    기술 세부정보

    CVE-2022-1055에서 공격자는 컨테이너의 로컬 공격자가 노드에서 루트로 권한을 에스컬레이션할 수 있도록 tc_new_tfilter()의 use-after-free를 악용할 수 있습니다.

    CVE-2022-27666에서는 esp/esp6_output_head의 버퍼 오버플로로 인해 컨테이너의 로컬 공격자가 노드의 루트로 에스컬레이션할 수 있습니다.

    어떻게 해야 하나요?

    2022년 5월 12일 업데이트: 다음 버전의 Azure 기반 GKE는 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 Azure 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    클러스터를 패치 버전으로 업그레이드합니다. 패치는 향후 출시 버전에서 제공됩니다. 제공되면 이 게시판은 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    높음

    베어메탈용 Google Distributed Cloud Virtual

    설명 심각도

    Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 브레이크아웃, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다.

    기술 세부정보

    CVE-2022-1055에서 공격자는 컨테이너의 로컬 공격자가 노드에서 루트로 권한을 에스컬레이션할 수 있도록 tc_new_tfilter()의 use-after-free를 악용할 수 있습니다.

    CVE-2022-27666에서는 esp/esp6_output_head의 버퍼 오버플로로 인해 컨테이너의 로컬 공격자가 노드의 루트로 에스컬레이션할 수 있습니다.

    어떻게 해야 하나요?

    별도로 취해야 할 조치는 없습니다. 베어메탈용 Google Distributed Cloud Virtual은 Linux를 패키지의 일부로 포함하지 않으므로 이 CVE의 영향을 받지 않습니다. 사용하는 노드 이미지가 CVE-2022-1055 및 CVE-2022-27666의 수정사항이 포함된 버전으로 업데이트되었는지 확인해야 합니다.

    이 패치로 어떤 취약점이 해결되나요?

    높음

    GCP-2022-013

    게시: 2022년 4월 11일
    업데이트: 2022년 4월 20일
    참조: CVE-2022-23648
    2022년 4월 22일 업데이트: 베어메탈용 Google Distributed Cloud Virtual 및 VMware용 GKE의 패치 버전이 업데이트되었습니다.

    GKE

    설명 심각도

    보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다.

    이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 이 취약점은 기본적으로 containerd를 사용하는 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 미칩니다. 모든 GKE, Autopilot, GKE Sandbox 노드가 영향을 받습니다.

    어떻게 해야 하나요?

    다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드를 수동으로 업그레이드하는 것이 좋습니다.

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 패치를 적용할 수 있습니다. 이렇게 하면 새 버전이 특정 출시 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

    중간 규모

    VMware용 GKE

    업데이트: 2022년 4월 22일

    설명 심각도

    보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다.

    이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 이 취약점은 containerd를 사용하는 Stackdriver가 사용 설정된 모든 VMware용 GKE에 영향을 미칩니다. VMware용 GKE 버전 1.8, 1.9, 1.10이 영향을 받습니다.

    어떻게 해야 하나요?

    2022년 4월 22일 업데이트: 다음 VMware용 GKE 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다.

    • 1.9.5 이상
    • 1.10.3 이상
    • 1.11.0 이상

    다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 VMware용 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.8.8 이상
    • 1.9.5 이상
    • 1.10.2 이상

    이 CVE는 IgnoreImageDefinedVolumes를 true로 설정하여 완화할 수 있습니다.

    중간 규모

    AWS용 GKE

    설명 심각도

    보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다.

    이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 모든 AWS 기반 GKE 노드가 영향을 받습니다.

    어떻게 해야 하나요?

    다음 AWS 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 다음 AWS 기반 GKE 버전 중 하나로 업그레이드하는 것이 좋습니다.

    AWS 기반 GKE(현재 세대)
    • 버전 1.22: 1.22.8-gke.200
    • 버전 1.21: 1.21.11-gke.100
    AWS 기반 GKE(이전 세대)
    • 버전 1.22: 1.22.8-gke.300
    • 버전 1.21: 1.21.11-gke.100
    • 버전 1.20: 1.20.15-gke.2200

    이 CVE는 IgnoreImageDefinedVolumes를 true로 설정하여 완화할 수 있습니다.

    중간 규모

    Azure용 GKE

    설명 심각도

    보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다.

    이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 모든 Azure 기반 GKE 버전이 영향을 받습니다.

    어떻게 해야 하나요?

    다음 Azure 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 다음과 같이 노드를 업그레이드하는 것이 좋습니다.

    • 버전 1.22: 1.22.8-gke.200
    • 버전 1.21: 1.21.11-gke.100

    이 CVE는 IgnoreImageDefinedVolumes를 true로 설정하여 완화할 수 있습니다.

    중간 규모

    베어메탈용 Google Distributed Cloud Virtual

    업데이트: 2022년 4월 22일

    설명 심각도

    보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다.

    이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다. 이 취약점은 containerd를 사용하는 베어메탈용 Google Distributed Cloud Virtual에 영향을 미칩니다. 베어메탈용 Google Distributed Cloud Virtual 버전 1.8, 1.9, 1.10이 영향을 받습니다.

    어떻게 해야 하나요?

    2022년 4월 22일 업데이트: 다음 버전의 베어메탈용 Google Distributed Cloud Virtual에는 이 취약점을 해결하는 코드가 포함되어 있습니다.

    • 1.8.9 이상
    • 1.9.6 이상
    • 1.10.3 이상
    • 1.11.0 이상

    다음 버전의 베어메탈용 Google Distributed Cloud Virtual는 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 노드를 베어메탈용 Google Distributed Cloud Virtual 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.8.8 이상
    • 1.9.5 이상
    • 1.10.2 이상

    이 CVE는 IgnoreImageDefinedVolumes를 true로 설정하여 완화할 수 있습니다.

    중간 규모

    GCP-2022-012

    게시: 2022년 4월 7일
    업데이트: 2022년 11월 22일
    참조: CVE-2022-0847
    2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드에 대한 정보가 업데이트되었습니다.

    GKE

    업데이트: 2022년 11월 22일

    설명 심각도

    2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드는 이러한 취약점의 영향을 받지 않습니다.


    Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며 컨테이너 권한이 루트로 에스컬레이션될 수 있습니다. 이 취약점은 Container-Optimized OS 이미지(Container-Optimized OS 93 이상)를 사용하는 모든 GKE 노드 풀 버전 v1.22 이상에 영향을 미칩니다. Ubuntu OS를 사용하는 GKE 노드 풀은 영향을 받지 않습니다.

    어떻게 해야 하나요?

    다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 보안을 위해 노드 자동 업그레이드가 사용 설정된 경우에도 다음 GKE 버전 중 하나로 노드 풀을 수동으로 업그레이드하는 것이 좋습니다.

    • 1.22.7-gke.1500 이상
    • 1.23.4-gke.1600 이상

    출시 채널의 최근 기능을 사용하면 채널을 구독 취소하지 않고도 다른 출시 채널의 패치 버전을 적용할 수 있습니다. 이렇게 하면 새 버전이 출시 특정 채널의 기본값이 될 때까지 노드를 보호할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-0847은 Linux 커널 버전 5.8에 도입된 PIPE_BUF_FLAG_CAN_MERGE 플래그와 관련이 있습니다. 이 취약점에서 새 파이프 버퍼 구조의 '플래그' 구성원에는 Linux 커널의 적절한 초기화가 없었습니다. 권한이 없는 로컬 공격자가 이 결함을 사용하여 읽기 전용 파일에서 지원하는 페이지 캐시의 페이지에 쓰고 자신의 권한을 에스컬레이션할 수 있습니다.

    이 문제를 해결하는 새로운 버전의 Container-Optimized OS가 GKE의 업데이트된 노드 풀 버전에 통합되었습니다.

    높음

    VMware용 GKE

    설명 심각도

    Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며, 권한이 루트로 에스컬레이션될 수 있습니다. 이 취약점은 Container-Optimized OS 이미지를 위한 VMware용 GKE v1.10에 영향을 미칩니다. 현재 Ubuntu가 포함된 VMware용 GKE는 커널 버전 5.4를 사용하며 이 공격에 취약하지 않습니다.

    어떻게 해야 하나요?

    다음 VMware용 GKE 버전의 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 클러스터와 사용자 클러스터를 다음 VMware용 GKE 버전으로 업그레이드하는 것이 좋습니다.

    • 1.10.3

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-0847은 Linux 커널 버전 5.8에 도입된 PIPE_BUF_FLAG_CAN_MERGE 플래그와 관련이 있습니다. 이 취약점에서 새 파이프 버퍼 구조의 '플래그' 구성원에는 Linux 커널의 적절한 초기화가 없었습니다. 권한이 없는 로컬 공격자가 이 결함을 사용하여 읽기 전용 파일에서 지원하는 페이지 캐시의 페이지에 쓰고 자신의 권한을 에스컬레이션할 수 있습니다.

    이 문제를 해결하는 새로운 버전의 Container-Optimized OS가 VMware용 GKE의 업데이트된 버전에 통합되었습니다.

    높음

    AWS용 GKE

    설명 심각도

    Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며, 권한이 루트로 에스컬레이션될 수 있습니다.

    이 취약점은 Ubuntu 를 사용하는 AWS 기반 GKE v1.21 및 AWS 기반 GKE(이전 세대) v1.19, v1.20, v1.21에서 실행되는 클러스터에 영향을 미칩니다.

    어떻게 해야 하나요?

    다음 AWS 기반 GKE 버전의 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다.

    관리형 AWS 기반 GKE의 경우 사용자 클러스터와 노드 풀을 다음 버전 중 하나로 업그레이드하는 것이 좋습니다.

    • 1.21.11-gke.100

    k-lite AWS 기반 GKE의 경우 AWSManagementService, AWSCluster, AWSNodePool 객체를 다음 버전으로 업그레이드하는 것이 좋습니다.

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-0847은 Linux 커널 버전 5.8에 도입된 PIPE_BUF_FLAG_CAN_MERGE 플래그와 관련이 있습니다. 이 취약점에서 새 파이프 버퍼 구조의 '플래그' 구성원에는 Linux 커널의 적절한 초기화가 없었습니다. 권한이 없는 로컬 공격자가 이 결함을 사용하여 읽기 전용 파일에서 지원하는 페이지 캐시의 페이지에 쓰고 자신의 권한을 에스컬레이션할 수 있습니다.

    높음

    Azure용 GKE

    설명 심각도

    Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며, 권한이 루트로 에스컬레이션될 수 있습니다. 이 취약점은 Ubuntu를 사용하는 Azure 기반 GKE v1.21의 관리형 클러스터에 영향을 미칩니다.

    어떻게 해야 하나요?

    다음Azure 기반 GKE 버전의 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 사용자 클러스터와 노드 풀을 다음 버전으로 업그레이드하는 것이 좋습니다.

    • 1.21.11-gke.100

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-0847은 Linux 커널 버전 5.8에 도입된 PIPE_BUF_FLAG_CAN_MERGE 플래그와 관련이 있습니다. 이 취약점에서 새 파이프 버퍼 구조의 '플래그' 구성원에는 Linux 커널의 적절한 초기화가 없었습니다. 권한이 없는 로컬 공격자가 이 결함을 사용하여 읽기 전용 파일에서 지원하는 페이지 캐시의 페이지에 쓰고 자신의 권한을 에스컬레이션할 수 있습니다.

    높음

    베어메탈용 Google Distributed Cloud Virtual

    설명 심각도

    Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며, 권한이 루트로 에스컬레이션될 수 있습니다.

    어떻게 해야 하나요?

    별도로 취해야 할 조치는 없습니다. 베어메탈용 Google Distributed Cloud Virtual은 Linux를 패키지의 일부로 포함하지 않으므로 이 CVE의 영향을 받지 않습니다. 사용하는 노드 이미지가 CVE-2022-0847의 수정사항이 포함된 버전으로 업데이트되는지 확인해야 합니다.

    높음

    GCP-2022-011

    게시: 2022년 3월 22일
    업데이트: 2022년 8월 11일

    2022년 8월 11일 업데이트: SMT 구성 오류의 영향에 대한 세부정보가 추가되었습니다.

    GKE

    설명 심각도

    2022년 8월 11일 업데이트: 동시 멀티 스레딩(SMT) 구성에 대한 자세한 정보가 추가되었습니다. SMT는 사용 중지되었지만 나열된 버전에서 사용 설정되었습니다.

    샌드박스 처리된 노드 풀에 수동으로 SMT를 사용 설정한 경우 이 문제가 발생하더라도 SMT는 수동으로 사용 설정된 상태를 유지합니다.


    GKE Sandbox 이미지에 하이퍼 스레딩이라고도 하는 동시 멀티 스레딩(SMT)이 잘못 구성되어 있습니다. 잘못된 구성으로 인해 노드가 마이크로아키텍처 데이터 샘플링(MDS)과 같은 부채널 공격에 노출될 수 있습니다. 자세한 내용은 GKE Sandbox 문서를 참조하세요. 영향을 받는 다음 버전을 사용하지 않는 것이 좋습니다.

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    수동으로 노드 풀에 SMT를 사용 설정한 경우 이 문제는 샌드박스 처리된 노드에 영향을 주지 않습니다.

    어떻게 해야 하나요?

    노드를 다음 버전 중 하나로 업그레이드합니다.

    • 1.22.6-gke.1500 이상
    • 1.23.3-gke.1100 이상

    이 패치로 어떤 취약점이 해결되나요?

    GKE Sandbox 노드는 기본적으로 SMT를 중지하여 부채널 공격을 완화합니다.

    중간 규모

    GCP-2022-009

    게시: 2022년 3월 1일
    업데이트: 2022년 3월 15일

    GKE

    설명 심각도

    2022년 3월 15일 업데이트: Azure 기반 GKE 및 Azure 기반 GKE에 대한 강화 가이드가 추가되었습니다. 웹훅을 사용한 지속성에 대한 섹션이 추가되었습니다.


    GKE Autopilot 클러스터에서 노드 VM에 액세스하기 위한 일부 예기치 않은 경로가 클러스터의 권한 승격을 위해 사용되었습니다. 이 문제는 해결되었으며 추가 조치가 필요하지 않습니다. 이 수정사항은 취약성 발견 보상 프로그램을 통해 보고된 문제를 해결합니다.

    GKE Standard 및 GKE 클러스터 사용자는 아래 설명에 따라 비슷한 강화 정책을 선택적으로 적용할 수 있습니다.

    기술 세부정보

    타사 정책 예외를 사용한 호스트 액세스

    GKE Autopilot은 Google Cloud에서 노드 및 포드 수준 SLA를 완벽하게 관리할 수 있도록 일부 권한이 높은 Kubernetes 기본 요소를 제한하여 워크로드에서 노드 VM에 대한 낮은 수준의 액세스 권한을 갖지 못하도록 제한합니다. 컨텍스트에서 이를 설정하기 위해 GKE Standard는 기본 컴퓨팅에 대한 전체 액세스 권한을 제공하고, Autopilot은 제한된 액세스 권한을 제공하고, Cloud Run은 액세스를 제공하지 않습니다.

    Autopilot은 사전 정의된 타사 도구 목록에 포함된 일부 제한사항을 완화하여 고객이 별도의 수정 없이 Autopilot에서 이러한 도구를 실행할 수 있도록 합니다. 연구원은 호스트 경로 마운트를 통해 포드를 생성하는 권한을 사용하여 허용 목록에 포함된 타사 도구 중 하나처럼 보이는 포드에서 권한이 있는 컨테이너를 실행하여 호스트에 액세스할 수 있었습니다.

    이 방식으로 포드를 예약하는 기능은 GKE Standard에서는 예상되지만 GKE Autopilot에서는 예상되지 않습니다. 앞서 설명한 SLA를 사용 설정하는 데 사용되는 호스트 액세스 제한을 우회했기 때문입니다.

    이 문제는 타사 허용 목록 포드 사양을 강화하여 해결되었습니다.

    root-on-node에서 권한 에스컬레이션

    호스트 액세스 외에도 stackdriver-metadata-agent-cluster-levelmetrics-server 포드는 권한이 높은 것으로 식별되었습니다. 노드에 대한 루트 수준 액세스 권한을 얻은 후 이러한 서비스를 사용하여 클러스터를 보다 세밀하게 제어할 수 있습니다.

    GKE Standard 및 Autopilot 모두에 대해 stackdriver-metadata-agent가 지원 중단되고 삭제되었습니다. 이 구성요소는 VMware용 GKE 및 베어메탈용 Google Distributed Cloud Virtual에서 아직 사용됩니다.

    이후 이 유형의 공격을 방지하기 위한 시스템 강화 방안에 따라 최신 출시 버전에서는 kube-system 네임스페이스에서 여러 객체의 서비스 계정에 대해 업데이트를 방지하는 Autopilot 제약조건이 적용됩니다. 권한 부여된 워크로드의 자체 수정을 방지하도록 GKE Standard 클러스터 및 GKE 클러스터에 비슷한 보호를 적용할 수 있도록 Gatekeeper 정책이 개발되었습니다. 이 정책은 Autopilot 클러스터에 대해 자동으로 적용됩니다. 자세한 내용은 다음 강화 가이드를 참조하세요.


    2022년 3월 15일 추가: 변형 웹훅을 사용한 지속성

    변형 웹훅은 클러스터 성능 저하 후 권한 부여된 발판을 설정하기 위해 보고서에서 사용되었습니다. 이러한 부분은 클러스터 관리자가 생성한 Kubernetes API의 표준 부분이며, Autopilot으로 고객 정의 웹훅에 대한 지원이 추가되었을 때 관리자에게 표시되었습니다.


    기본 네임스페이스에서 권한 부여된 서비스 계정

    Autopilot 정책 시행자는 서비스 계정에 특별한 권한을 부여하기 위해 기본 네임스페이스에서 csi-attacherotelsvc의 2개 서비스 계정을 허용 목록에 추가했습니다. ClusterRoleBinding 객체 만들기 권한과 기본 네임스페이스에서 포드 만들기 액세스 권한을 포함하여 고급 권한이 있는 공격자가 이러한 서비스 계정 이름을 사용해서 추가 권한에 액세스할 수 있었습니다. 기존 Autopilot 정책 보호를 위해 이러한 서비스가 kube-system 네임스페이스에서 이동되었습니다. GKE Standard 클러스터 및 GKE 클러스터는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    모든 GKE Autopilot 클러스터에서 의도하지 않은 호스트 액세스를 삭제하도록 정책을 업데이트했으며 추가 조치는 필요하지 않습니다.

    추가 보호 조치로 향후 몇 주 내에 Autopilot에 추가로 정책 강화가 적용될 예정입니다. 별도의 조치가 필요하지 않습니다.

    GKE Standard 클러스터 및 GKE 클러스터는 사용자가 이미 호스트 액세스 권한을 가지므로 영향을 받지 않습니다. GKE Standard 클러스터 및 GKE 클러스터 사용자는 시스템 강화를 위해 권한이 있는 워크로드의 자체 수정을 방지하는 Gatekeeper 정책으로 유사한 보호를 적용할 수 있습니다. 자세한 내용은 다음 강화 가이드를 참조하세요.

    낮음

    GCP-2022-008

    게시: 2022년 2월 23일
    업데이트: 2022년 4월 28일
    참조: CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656

    GKE

    설명 심각도
    Envoy 프로젝트는 최근 일련의 취약점인 CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656을 발견했으며 이 취약점은 Anthos Service Mesh, Istio-on-GKE 또는 커스텀 Istio 배포를 사용하는 GKE 클러스터에 영향을 미칠 수 있습니다.
    다음에 나열된 모든 문제는 Envoy 출시 버전 1.21.1에서 해결되었습니다.
    기술 배경
    이 취약점에 대한 자세한 내용은 여기를 참조하세요.

    어떻게 해야 하나요?

    Anthos Service Mesh가 실행되는 GKE 클러스터를 위 취약점에 대한 수정사항이 지원되는 버전으로 업그레이드해야 합니다.
    • Anthos Service Mesh 1.12를 사용하는 경우 v1.12.4-asm.0으로 업그레이드합니다.
    • Anthos Service Mesh 1.11을 사용하는 경우 v1.11.7-asm.1로 업그레이드합니다.
    • Anthos Service Mesh 1.10을 사용하는 경우 v1.10.6-asm.1로 업그레이드합니다.
    Anthos Service Mesh v1.9 이하를 사용하는 경우 ,이 출시 버전은 지원 종료되어 더 이상 지원되지 않습니다. 이러한 CVE 수정사항은 백포트되지 않았습니다. ASM 1.10 이상으로 업그레이드해야 합니다.

    Istio-on-GKE가 실행되는 GKE 클러스터를 위 취약점에 대한 수정사항이 지원되는 버전으로 업그레이드해야 합니다.
    • Istio-on-GKE 1.6을 사용하는 경우 v1.6.14-gke.8로 업그레이드합니다.
    • Istio-on-GKE 1.4.11을 사용하는 경우 v1.4.11-gke.4로 업그레이드합니다.
    • Istio-on-GKE 1.4.10을 사용하는 경우 v1.4.10-gke.23으로 업그레이드합니다.
    • GKE 1.22 이상을 사용하는 경우 Istio GKE 1.4.10을 사용하세요. 그렇지 않으면 Istio-on-GKE 1.4.11을 사용합니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656
    높음

    VMware용 GKE

    업데이트: 2022년 4월 28일

    설명 심각도
    Envoy에서 최근에 여러 보안 취약점 수정사항을 출시했습니다. Envoy가 metrics-server와 함께 사용되므로 VMware용 GKE가 영향을 받습니다. 현재 수정 중인 Envoy CVE가 다음에 나와 있습니다. 특정 버전이 제공되면 이 게시판이 업데이트됩니다.
    • CVE-2021-43824(CVSS 점수 6.5, 보통): JWT 필터 safe_regex 일치를 사용할 때 잠재적인 null 포인터 역참조
      참고: ASM/Istio-on-GKE에서는 Envoy 필터를 지원하지 않지만 JWT 필터 정규식을 사용하면 영향을 받을 수 있습니다.
    • CVE-2021-43825(CVSS 점수 6.1, 보통): 응답 필터가 응답 데이터를 늘리고 증가된 데이터가 다운스트림 버퍼 한도를 초과할 때 Use-after-free가 발생합니다.
      참고: ASM/Istio-on-GKE에서는 Envoy 필터를 지원하지 않지만 압축 해제 필터를 사용하면 영향을 받을 수 있습니다.
    • CVE-2021-43826(CVSS 점수 6.1, 보통): 업스트림 연결 설정 중에 다운스트림 연결이 끊어지면 HTTP를 통해 TCP를 터널링할 때 Use-after-free가 발생합니다.
      참고: ASM/Istio-on-GKE에서는 Envoy 필터를 지원하지 않지만 터널링 필터를 사용하면 영향을 받을 수 있습니다.
    • CVE-2022-21654(CVSS 점수 7.3, 높음): 잘못된 구성 처리로 유효성 검사 설정을 변경한 후 유효성을 다시 검사하지 않고 mTLS 세션을 재사용할 수 있습니다.
      참고: mTLS를 사용하는 모든 ASM/Istio-on-GKE 서비스는 이 CVE의 영향을 받습니다.
    • CVE-2022-21655(CVSS 점수 7.5, 높음): 직접 응답 항목이 있는 경로에 대한 내부 리디렉션을 잘못 처리합니다.
      참고: ASM/Istio-on-GKE에서는 Envoy 필터를 지원하지 않지만 직접 응답 필터를 사용하면 영향을 받을 수 있습니다.
    • CVE-2022-23606(CVSS 점수 4.4, 보통): 클러스터 검색 서비스를 통해 클러스터가 삭제될 때 스택 소진
      참고: ASM 1.11 이상은 이 CVE의 영향을 받습니다. ASM 1.10 및 모든 Istio-on-GKE는 이 CVE의 영향을 받지 않습니다.
    • CVE-2022-21657(CVSS 점수 3.1, 낮음): 1.20.1까지의 Envoy에는 X.509 확장 키 사용 및 트러스트 목적 우회로 인해 원격으로 악용될 수 있는 취약점이 포함되어 있습니다.
    • CVE-2022-21656(CVSS 점수 3.1, 낮음): 1.20.1까지의 Envoy에는 X.509 subjectAltName 일치(및 nameConstraints) 우회로 인해 원격으로 악용될 수 있는 취약점이 포함되어 있습니다.

    Istio는 최근 보안 취약점 수정사항 하나를 출시했습니다. Istio가 인그레스에 사용되므로 Anthos on VMware가 영향을 받습니다. 현재 수정 중인 Istio CVE가 다음에 나와 있습니다. 특정 버전이 제공되면 이 게시판이 업데이트됩니다.

    CVE-2022-23635(CVSS 점수 7.5, 높음): 특수 제작된 `authorization` 헤더가 있는 요청을 받으면 Istiod가 비정상 종료됩니다.


    위 CVE의 전체 설명과 영향은 보안 게시판을 참조하세요.

    2022년 4월 28일 추가: 어떻게 해야 하나요?

    다음 버전의 VMware용 GKE는 이러한 취약점을 해결합니다.

    • 1.9.5
    • 1.10.3
    • 1.11.0

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656
    높음

    베어메탈용 Google Distributed Cloud Virtual

    설명 심각도
    Envoy에서 최근에 여러 보안 취약점 수정사항을 출시했습니다. Envoy가 측정항목 서버에 사용되므로 베어메탈용 Anthos이 영향을 받습니다. 1.10.3, 1.9.6, 1.8.9 출시 버전에서 현재 수정 중인 Envoy CVE는 다음에 나와 있습니다.
    • CVE-2021-43824(CVSS 점수 6.5, 보통): JWT 필터 safe_regex 일치를 사용할 때 잠재적인 null 포인터 역참조
      참고: ASM/Istio-on-GKE에서는 Envoy 필터를 지원하지 않지만 JWT 필터 정규식을 사용하면 영향을 받을 수 있습니다.
    • CVE-2021-43825(CVSS 점수 6.1, 보통): 응답 필터가 응답 데이터를 늘리고 증가된 데이터가 다운스트림 버퍼 한도를 초과할 때 Use-after-free가 발생합니다.
      참고: ASM/Istio-on-GKE에서는 Envoy 필터를 지원하지 않지만 압축 해제 필터를 사용하면 영향을 받을 수 있습니다.
    • CVE-2021-43826(CVSS 점수 6.1, 보통): 업스트림 연결 설정 중에 다운스트림 연결이 끊어지면 HTTP를 통해 TCP를 터널링할 때 Use-after-free가 발생합니다.
      참고: ASM/Istio-on-GKE에서는 Envoy 필터를 지원하지 않지만 터널링 필터를 사용하면 영향을 받을 수 있습니다.
    • CVE-2022-21654(CVSS 점수 7.3, 높음): 잘못된 구성 처리로 유효성 검사 설정을 변경한 후 유효성을 다시 검사하지 않고 mTLS 세션을 재사용할 수 있습니다.
      참고: mTLS를 사용하는 모든 ASM/Istio-on-GKE 서비스는 이 CVE의 영향을 받습니다.
    • CVE-2022-21655(CVSS 점수 7.5, 높음): 직접 응답 항목이 있는 경로에 대한 내부 리디렉션을 잘못 처리합니다.
      참고: ASM/Istio-on-GKE에서는 Envoy 필터를 지원하지 않지만 직접 응답 필터를 사용하면 영향을 받을 수 있습니다.
    • CVE-2022-23606(CVSS 점수 4.4, 보통): 클러스터 검색 서비스를 통해 클러스터가 삭제될 때 스택 소진
      참고: ASM 1.11 이상은 이 CVE의 영향을 받습니다. ASM 1.10 및 모든 Istio-on-GKE는 이 CVE의 영향을 받지 않습니다.
    • CVE-2022-21657(CVSS 점수 3.1, 낮음): 1.20.1까지의 Envoy에는 X.509 확장 키 사용 및 트러스트 목적 우회로 인해 원격으로 악용될 수 있는 취약점이 포함되어 있습니다.
    • CVE-2022-21656(CVSS 점수 3.1, 낮음): 1.20.1까지의 Envoy에는 X.509 subjectAltName 일치(및 nameConstraints) 우회로 인해 원격으로 악용될 수 있는 취약점이 포함되어 있습니다.
    Istio는 최근 보안 취약점 수정사항 하나를 출시했습니다. Istio는 인그레스에 사용되므로 베어메탈용 Anthos이 영향을 받습니다. 1.10.3, 1.9.6, 1.8.9 출시 버전에서 수정 중인 Istio CVE는 다음에 나와 있습니다.

    • CVE-2022-23635(CVSS 점수 7.5, 높음): 특수 제작된 `authorization` 헤더가 있는 요청을 받으면 Istiod가 비정상 종료됩니다.
      참고: 모든 ASM/Istio-on-GKE는 이 CVE의 영향을 받습니다.

    위 CVE의 전체 설명과 영향은 보안 게시판을 참조하세요.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, CVE-2022-21656
    높음

    GCP-2022-006

    게시: 2022년 2월 14일
    업데이트: 2022년 5월 16일
    2022년 5월 16일 업데이트: 이 취약점을 해결하기 위한 코드가 있는 버전 목록에 GKE 버전 1.19.16-gke.7800 이상이 추가되었습니다.
    2022년 5월 12일 업데이트: GKE, 베어메탈용 Google Distributed Cloud Virtual, VMware용 GKE, AWS 기반 GKE 버전이 업데이트되었습니다. 2022년 2월 23일 추가 시에 AWS 기반 GKE 보안 게시판이 표시되지 않는 문제가 수정되었습니다.

    GKE

    설명 심각도

    Linux 커널의 cgroup_release_agent_write 함수에서 보안 취약점 CVE-2022-0492가 발견되었습니다. 공격은 권한이 없는 사용자 네임스페이스를 사용하며 특정 상황에서 이 취약점이 컨테이너 침입에 악용될 수 있습니다.

    어떻게 해야 하나요?

    2022년 5월 16일 업데이트: 2022년 5월 12일 업데이트에 언급된 GKE 버전 외에 GKE 버전 1.19.16-gke.7800 이상에도 이 취약점을 해결하는 코드가 포함되어 있습니다.


    2022년 5월 12일 업데이트: 다음 GKE 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다.

    • 1.20.15-gke.5600 이상
    • 1.21.11-gke.1500 이상
    • 1.22.8-gke.1800 이상
    • 1.23.5-gke.1800 이상

    업데이트 2022년 2월 15일: gVisor 문이 수정되었습니다.

    이 취약점은 kernel/cgroup/cgroup-v1.c 함수의 Linux 커널 cgroup_release_agent_write에서 발견되며 컨테이너 침입으로 사용될 수 있습니다. GKE는 Ubuntu 및 COS의 기본 AppArmor 프로필의 보호로 인해 영향을 받지 않습니다. 그러나 일부 고객이 포드나 컨테이너 securityContext 필드를 수정하여(예: AppArmor 프로필 중지/변경) 포드에서 보안 제한사항을 완화한 경우 여전히 취약할 수 있으므로 권장되지 않습니다. 기본 AppArmor 프로필 외에도 이러한 기능은 취약점으로부터 보호합니다.

    • GKE Autopilot은 기본 seccomp 프로필로 인해 영향을 받지 않습니다.
    • 2022년 2월 15일 업데이트: gVisor(GKE Sandbox)는 gVisor가 호스트의 취약한 시스템 호출에 대한 액세스를 허용하지 않으므로 영향을 받지 않습니다.

    패치는 향후 출시 버전에서 제공됩니다. 출시되면 이 게시판은 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-0492

    낮음

    GKE 클러스터 사용

    설명 심각도

    Linux 커널의 cgroup_release_agent_write 함수에서 보안 취약점 CVE-2022-0492가 발견되었습니다. 공격은 권한이 없는 사용자 네임스페이스를 사용하며 특정 상황에서 이 취약점이 컨테이너 침입에 악용될 수 있습니다.

    어떻게 해야 하나요?

    2022년 5월 12일 업데이트: 다음 VMware용 GKE 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다.

    COS
    • 1.8.8 이상
    • 1.9.5 이상
    • 1.10.2 이상
    • 1.11.0 이상
    Ubuntu
    • 1.9.6 이상
    • 1.10.3 이상
    • 1.11.0 이상

    이 취약점은 kernel/cgroup/cgroup-v1.c 함수의 Linux 커널 cgroup_release_agent_write에서 발견되며 컨테이너 침입으로 사용될 수 있습니다. VMware용 GKE는 Ubuntu 및 COS의 기본 AppArmor 프로필의 보호로 인해 영향을 받지 않습니다. 그러나 일부 고객이 포드나 컨테이너 securityContext 필드를 수정하여(예: AppArmor 프로필 중지/변경) 포드에서 보안 제한사항을 완화한 경우 여전히 취약할 수 있으므로 권장되지 않습니다.

    패치는 향후 출시 버전에서 제공됩니다. 제공되면 이 게시판은 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-0492

    낮음

    AWS용 GKE

    설명 심각도

    Linux 커널의 cgroup_release_agent_write 함수에서 보안 취약점 CVE-2022-0492가 발견되었습니다. 공격은 권한이 없는 사용자 네임스페이스를 사용하며 특정 상황에서 이 취약점이 컨테이너 침입에 악용될 수 있습니다.

    어떻게 해야 하나요?

    2022년 5월 12일 업데이트: 다음 AWS 기반 GKE의 현재 및 이전 세대 버전에는 이 취약점을 해결하는 코드가 포함되어 있습니다.

    현재 세대
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    이전 세대
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    2022년 2월 23일 업데이트: AWS 기반 GKE에 대한 메모가 추가되었습니다.

    AWS 기반 GKE의 이전 및 현재 세대는 Ubuntu의 기본 AppArmor 프로필에서의 보호로 인해 영향을 받지 않습니다. 그러나 일부 고객이 포드나 컨테이너 securityContext 필드를 수정하여(예: AppArmor 프로필 중지/변경) 포드에서 보안 제한사항을 완화한 경우 여전히 취약할 수 있으므로 권장되지 않습니다.

    패치는 향후 출시 버전에서 제공됩니다. 제공되면 이 게시판은 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-0492

    낮음

    GKE Enterprise 사용

    설명 심각도

    Linux 커널의 cgroup_release_agent_write 함수에서 보안 취약점 CVE-2022-0492가 발견되었습니다. 공격은 권한이 없는 사용자 네임스페이스를 사용하며 특정 상황에서 이 취약점이 컨테이너 침입에 악용될 수 있습니다.

    어떻게 해야 하나요?

    2022년 5월 12일 업데이트: 다음 버전의 Azure 기반 GKE에는 이 취약점을 해결하는 코드가 포함되어 있습니다.

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Azure 기반 GKE는 Ubuntu의 기본 AppArmor 프로필에서의 보호로 인해 영향을 받지 않습니다. 그러나 일부 고객이 포드나 컨테이너 securityContext 필드를 수정하여(예: AppArmor 프로필 중지/변경) 포드에서 보안 제한사항을 완화한 경우 여전히 취약할 수 있으므로 권장되지 않습니다.

    패치는 향후 출시 버전에서 제공됩니다. 제공되면 이 게시판은 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2022-0492

    낮음

    GCP-2022-005

    게시: 2022년 2월 11일
    업데이트: 2022년 2월 15일
    참조: CVE-2021-43527

    GKE

    설명 심각도
    2022년 2월 15일 업데이트: 원래 게시판에 언급된 일부 GKE 버전은 다른 수정사항과 결합되어 출시 전에 버전 번호가 증가했습니다. 패치는 다음 GKE 버전에서 제공됩니다.
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    보안 취약점 CVE-2021-43527은 3.73 또는 3.68.1 이전 버전의 NSS(네트워크 보안 서비스)에서 발견된 취약한 libnss3 버전에 연결되는 바이너리에서 발견되었습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션은 NSS 사용/구성 방식에 따라 영향을 받을 수 있습니다. GKE COS 및 Ubuntu 이미지 모두 취약한 버전이 설치되어 있으므로 패치해야 합니다.

    잠재적으로 CVE-2021-43527은 NSS를 사용하여 CMS, S/MIME, PKCS#7 또는 PKCS#12 내에 인코딩된 서명을 처리하는 애플리케이션 전반에 영향을 미칠 수 있습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션도 영향을 받을 수 있습니다. 영향은 NSS의 사용/구성 방식에 따라 다릅니다.

    GKE는 인터넷에서 액세스 가능한 API에 libnss3을 사용하지 않습니다. Chrome OS의 최소한의 설계로 인해 소규모로 컨테이너 외부에서 실행되는 호스트 코드로 인한 영향은 적습니다. golang distroless 기본 이미지를 사용하여 컨테이너 내에서 실행되는 GKE 코드는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점이 해결되도록 코드로 업데이트되었습니다. 제어 영역과 노드를 다음 GKE 버전 중 하나로 업그레이드합니다.

    • 1.18 버전 확인
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    1.18 이전 버전의 GKE를 사용하고 있나요? SLA가 적용되지 않는 GKE 버전을 사용하고 있으면 지원되는 버전 중 하나로 업그레이드하는 것이 좋습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2021-43527

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    보안 취약점 CVE-2021-43527은 3.73 또는 3.68.1 이전 버전의 NSS(네트워크 보안 서비스)에서 발견된 취약한 libnss3 버전에 연결되는 바이너리에서 발견되었습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션은 NSS 구성 방식에 따라 영향을 받을 수 있습니다. VMware용 GKE COS와 Ubuntu 이미지 모두에는 취약한 버전이 설치되어 있으므로 패치를 적용해야 합니다.

    잠재적으로 CVE-2021-43527은 NSS를 사용하여 CMS, S/MIME, PKCS \#7 또는 PKCS \#12로 인코딩된 서명을 처리하는 애플리케이션 전반에 영향을 미칠 수 있습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션도 영향을 받을 수 있습니다. 영향은 NSS 구성/사용 방식에 따라 다릅니다. VMware용 Anthos는 공개적으로 액세스 가능한 API에 libnss3을 사용하지 않으므로 영향이 제한되며 VMware용 GKE에 대한 이 CVE 심각도는 보통으로 평가됩니다.

    어떻게 해야 하나요?

    다음 Anthos 버전용 Linux 노드 이미지 버전은 이 취약점이 해결되도록 코드로 업데이트되었습니다. 제어 영역과 노드를 다음 Anthos 버전 중 하나로 업그레이드합니다.

    • 1.8.7
    • 1.9.4
    • 1.10.2

    1.18 이전 버전의 VMware용 GKE를 사용하고 있나요? SLA가 적용되지 않는 Anthos 버전을 사용하고 있으면 지원되는 버전 중 하나로 업그레이드하는 것이 좋습니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2021-43527

    중간 규모

    GKE Enterprise 사용

    설명 심각도

    보안 취약점 CVE-2021-43527은 3.73 또는 3.68.1 이전 버전의 NSS(네트워크 보안 서비스)에서 발견된 취약한 libnss3 버전에 연결되는 바이너리에서 발견되었습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션은 NSS 사용/구성 방식에 따라 영향을 받을 수 있습니다. Azure Ubuntu 이미지의 Anthos 클러스터에는 취약한 버전이 설치되어 있으며 패치해야 합니다.

    잠재적으로 CVE-2021-43527은 NSS를 사용하여 CMS, S/MIME, PKCS#7 또는 PKCS#12로 인코딩된 서명을 처리하는 애플리케이션 전반에 영향을 미칠 수 있습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션도 영향을 받을 수 있습니다. 영향은 NSS 구성/사용 방식에 따라 다릅니다. Anthos clusters on Azure는 공개적으로 액세스 가능한 API에 libnss3을 사용하지 않으므로 영향이 제한되며 Anthos on Azure에 대한 이 CVE 심각도는 보통으로 평가됩니다.

    어떻게 해야 하나요?

    Azure 기반 GKE 버전의 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 Anthos on Azure 버전 중 하나로 업그레이드합니다.

    • v1.21.6-gke.1500

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2021-43527

    중간 규모

    GCP-2022-004

    게시: 2022년 2월 4일
    참조: CVE-2021-4034

    GKE

    설명 심각도

    Linux 정책 키트 패키지(polkit)의 일부인 pkexec에서 보안 취약점 CVE-2021-4034가 발견되었으며 이 취약점을 통해 인증된 사용자가 권한 에스컬레이션 공격을 수행할 수 있습니다. PolicyKit는 일반적으로 루트가 아닌 사용자가 정책에 따라 시스템 재부팅, 패키지 설치, 서비스 재시작과 같은 작업을 수행할 수 있도록 하는 Linux 데스크톱 시스템에서만 사용됩니다.

    어떻게 해야 하나요?

    취약한 모듈인 policykit-1이 GKE에서 사용되는 COS 또는 Ubuntu 이미지에 설치되어 있지 않으므로 GKE는 영향을 받지 않습니다. 별도의 조치가 필요하지 않습니다.

    없음

    GKE 클러스터 사용

    설명 심각도

    Linux 정책 키트 패키지(polkit)의 일부인 pkexec에서 보안 취약점 CVE-2021-4034가 발견되었으며 이 취약점을 통해 인증된 사용자가 권한 에스컬레이션 공격을 수행할 수 있습니다. PolicyKit는 일반적으로 루트가 아닌 사용자가 정책에 따라 시스템 재부팅, 패키지 설치, 서비스 재시작과 같은 작업을 수행할 수 있도록 하는 Linux 데스크톱 시스템에서만 사용됩니다.

    GKE Enterprise 기본 구성은 이미 사용자에게 전체 'sudo' 권한을 부여하므로 이 익스플로잇으로 인해 GKE Enterprise 기존 보안 상태는 변경되지 않습니다.

    기술 세부정보

    이 버그를 악용하려면 공격자에게 노드 파일 시스템의 두 루트가 아닌 셸이 모두 필요하고 취약한 버전의 pkexec가 설치되어 있어야 합니다. VMware용 GKE의 출시 이미지에는 policykit-1 버전이 포함되어 있지만 GKE Enterprise 기본 구성에서는 셸 액세스 권한이 이미 있는 사용자에게 비밀번호 없는 sudo를 허용합니다. 따라서 이 취약점으로 인해 이미 권한이 있는 사용자에게 더 많은 권한이 부여되지 않습니다.

    어떻게 해야 하나요?

    별도의 조치가 필요하지 않습니다. VMware용 GKE는 영향을 받지 않습니다.

    없음

    GKE 클러스터 사용

    설명 심각도
    VMware용 GKE는 영향을 받지 않습니다. 취약 모듈인 policykit-1은 VMware용 GKE의 현재 및 이전 버전에서 사용하는 Ubuntu 이미지에 설치되지 않습니다. 없음

    GKE Enterprise 사용

    설명 심각도

    Linux 정책 키트 패키지(polkit)의 일부인 pkexec에서 보안 취약점 CVE-2021-4034가 발견되었으며 이 취약점을 통해 인증된 사용자가 권한 에스컬레이션 공격을 수행할 수 있습니다. PolicyKit는 일반적으로 루트가 아닌 사용자가 정책에 따라 시스템 재부팅, 패키지 설치, 서비스 재시작과 같은 작업을 수행할 수 있도록 하는 Linux 데스크톱 시스템에서만 사용됩니다.

    GKE Enterprise 기본 구성은 이미 사용자에게 전체 'sudo' 권한을 부여하므로 이 익스플로잇으로 인해 GKE Enterprise 기존 보안 상태는 변경되지 않습니다.

    기술 세부정보

    이 버그를 악용하려면 공격자에게 노드 파일 시스템의 두 루트가 아닌 셸이 모두 필요하고 취약한 버전의 pkexec가 설치되어 있어야 합니다. Azure 기반 GKE의 출시 이미지에는 policykit-1 버전이 포함되어 있지만 Anthos 기본 구성에서는 셸 액세스 권한이 이미 있는 사용자에게 비밀번호 없는 sudo를 허용합니다. 따라서 이 취약점으로 인해 이미 권한이 있는 사용자에게 더 많은 권한이 부여되지 않습니다.

    어떻게 해야 하나요?

    별도의 조치가 필요하지 않습니다. Azure 기반 GKE는 영향을 받지 않습니다.

    없음

    GKE 클러스터 사용

    설명 심각도
    베어메탈용 Google Distributed Cloud Virtual은 고객 관리 운영체제에 설치된 패키지에 따라 영향을 받을 수 있습니다. OS 이미지를 스캔하고 필요한 경우 패치합니다. 없음

    GCP-2022-002

    게시: 2022년 2월 1일
    업데이트: 2022년 3월 7일
    참조:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    2022년 2월 4일 업데이트: AWS 기반 GKE 및 Azure 기반 GKE 섹션이 추가되었습니다. GKE 및 VMware용 GKE의 출시 업데이트가 추가되었습니다.

    GKE

    업데이트: 2022년 3월 7일

    설명 심각도

    Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다.

    GKE Sandbox를 사용하는 포드는 이 취약점에 취약하지 않습니다.

    자세한 내용은 COS 출시 노트를 참조하세요.

    기술 세부정보

    CVE-2021-4154에서는 공격자가 fsconfig 시스템 호출 매개변수를 악용하여 Linux 커널에서 use-after-free 버그를 트리거할 수 있으며, 이로 인해 루트 권한이 부여됩니다. 이는 컨테이너 침입으로 이어지는 로컬 권한 에스컬레이션 공격입니다.

    CVE-2021-22600은 packet_set_ring에 있는 이중 해제 악용이며 호스트 노드로의 컨테이너 이스케이프를 발생시킵니다.

    CVE-2022-0185의 경우 legacy_parse_param()의 힙 오버플로 버그로 인해 범위를 벗어난 쓰기가 발생하여 컨테이너 침입이 발생할 수 있습니다.

    'unshare' syscall을 사용하는 이 취약점의 악용 경로는 seccomp 필터링을 사용하여 GKE Autopilot 클러스터에서 기본적으로 차단됩니다.

    GKE Standard 클러스터에서 기본 컨테이너 런타임 seccomp 프로필을 수동으로 사용 설정한 사용자도 보호됩니다.

    어떻게 해야 하나요?

    2022년 3월 7일 업데이트: 다음 GKE 버전의 Linux 노드 이미지 버전은 Ubuntu 및 COS 이미지의 모든 취약점을 해결하도록 코드로 업데이트되었습니다. 제어 영역과 노드를 다음 GKE 버전 중 하나로 업그레이드합니다.

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    2022년 2월 25일 업데이트: Ubuntu 노드 이미지를 사용하는 경우 1.22.6-gke.1000은 CVE-2021-22600을 해결하지 않습니다. Ubuntu 패치 버전이 제공되면 이 게시판이 업데이트됩니다.


    2022년 2월 23일 업데이트: 다음 GKE 버전의 Linux 노드 이미지 버전은 이 취약점이 해결되도록 코드로 업데이트되었습니다. 클러스터를 다음 GKE 버전 중 하나로 업그레이드합니다.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    2022년 2월 4일 업데이트: GKE 패치 버전의 출시 시작일은 2월 2일였습니다.


    다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 GKE 버전 중 하나로 업그레이드합니다.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    1.22 및 1.23 버전도 진행 중입니다. 특정 버전이 제공되면 이 게시판이 업데이트됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    높음

    GKE 클러스터 사용

    업데이트: 2022년 2월 23일

    설명 심각도

    Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다.

    자세한 내용은 COS 출시 노트를 참조하세요.

    기술 세부정보

    CVE-2021-4154에서는 공격자가 fsconfig 시스템 호출 매개변수를 악용하여 Linux 커널에서 use-after-free 버그를 트리거할 수 있으며, 이로 인해 루트 권한이 부여됩니다. 이는 컨테이너 침입으로 이어지는 로컬 권한 에스컬레이션 공격입니다.

    CVE-2021-22600은 packet_set_ring에 있는 이중 해제 악용이며 호스트 노드로의 컨테이너 이스케이프를 발생시킵니다.

    CVE-2022-0185의 경우 legacy_parse_param()의 힙 오버플로 버그로 인해 범위를 벗어난 쓰기가 발생하여 컨테이너 침입이 발생할 수 있습니다.

    GKE Standard 클러스터에서 기본 컨테이너 런타임 seccomp 프로필을 수동으로 사용 설정한 사용자도 보호됩니다.

    어떻게 해야 하나요?

    2022년 2월 23일 업데이트: 버전 1.10.2(CVE-2021-22600, CVE-2021-4154, CVE-2022-0185 수정)가 3월 1일에 예정되어 있습니다.

    2022년 2월 23일 업데이트: CVE-2021-2260을 해결하는 패치 버전이 추가되었습니다.

    버전 1.10.1은 CVE-2021-22600을 해결하지 않지만 다른 취약점을 해결합니다. 출시 예정인 1.9.4 및 1.10.2 버전 모두 CVE-2021-22600을 해결합니다. 다음 VMware용 GKE 버전의 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드합니다.

    • 1.10.1(CVE-2021-4154 및 CVE-2022-0185 수정. 2월 10일 출시)
    • 1.8.7(CVE-2021-22600, CVE-2021-4154, CVE-2022-0185 수정. 2월 17일 출시)
    • 1.9.4(CVE-2021-22600, CVE-2021-4154, CVE-2022-0185 수정. 2월 23일 출시)
    • 1.10.2(CVE-2021-22600, CVE-2021-4154, CVE-2022-0185 수정. 2월 24일 예정)

    2022년 2월 4일 업데이트: CVE-2021-22600을 처리하지 않는 Ubuntu 이미지에 대한 정보가 추가되었습니다.

    다음 VMware용 GKE 버전용 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 VMware용 GKE 버전 중 하나로 업그레이드합니다.

    • 1.10.1(COS 업데이트만 해당. Ubuntu 패치는 1.10.2 버전으로 2월 23일 예정됨)
    • 1.9.4(2월 15일 예정됨)
    • 1.8.7(2월 15일 예정됨)

    이 패치로 어떤 취약점이 해결되나요?

    높음

    GKE 클러스터 사용

    설명 심각도

    Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다.

    자세한 내용은 COS 출시 노트를 참조하세요.

    기술 세부정보

    CVE-2021-4154에서는 공격자가 fsconfig 시스템 호출 매개변수를 악용하여 Linux 커널에서 use-after-free 버그를 트리거할 수 있으며, 이로 인해 루트 권한이 부여됩니다. 이는 컨테이너 침입으로 이어지는 로컬 권한 에스컬레이션 공격입니다.

    CVE-2021-22600은 packet_set_ring에 있는 이중 해제 악용이며 호스트 노드로의 컨테이너 이스케이프를 발생시킵니다.

    CVE-2022-0185의 경우 legacy_parse_param()의 힙 오버플로 버그로 인해 범위를 벗어난 쓰기가 발생하여 컨테이너 침입이 발생할 수 있습니다.

    GKE Standard 클러스터에서 기본 컨테이너 런타임 seccomp 프로필을 수동으로 사용 설정한 사용자도 보호됩니다.

    어떻게 해야 하나요?

    AWS용 GKE

    다음 AWS 기반 GKE 버전의 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 AWS 기반 GKE 버전으로 업그레이드합니다.

    • 1.21.6-gke.1500 이상(2월에 제공)

    AWS 기반 GKE(이전 세대)

    다음 AWS 기반 GKE(이전 세대) 버전의 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 AWS 기반 GKE(이전 세대) 버전 중 하나로 업그레이드합니다.

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    이 패치로 어떤 취약점이 해결되나요?

    높음

    GKE Enterprise 사용

    설명 심각도

    Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다.

    자세한 내용은 COS 출시 노트를 참조하세요.

    기술 세부정보

    CVE-2021-4154에서는 공격자가 fsconfig 시스템 호출 매개변수를 악용하여 Linux 커널에서 use-after-free 버그를 트리거할 수 있으며, 이로 인해 루트 권한이 부여됩니다. 이는 컨테이너 침입으로 이어지는 로컬 권한 에스컬레이션 공격입니다.

    CVE-2021-22600은 packet_set_ring에 있는 이중 해제 악용이며 호스트 노드로의 컨테이너 이스케이프를 발생시킵니다.

    CVE-2022-0185의 경우 legacy_parse_param()의 힙 오버플로 버그로 인해 범위를 벗어난 쓰기가 발생하여 컨테이너 침입이 발생할 수 있습니다.

    GKE Standard 클러스터에서 기본 컨테이너 런타임 seccomp 프로필을 수동으로 사용 설정한 사용자도 보호됩니다.

    어떻게 해야 하나요?

    다음 Azure 기반 GKE 버전의 Linux 노드 이미지 버전은 이러한 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 Azure 기반 GKE 버전으로 업그레이드합니다.

    • 1.21.6-gke.1500 이상(2월에 제공)

    이 패치로 어떤 취약점이 해결되나요?

    높음

    GCP-2021-024

    게시: 2021년 10월 21일
    참조: CVE-2021-25742

    GKE

    설명 심각도

    Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에서 보안 문제가 발견되었습니다. ingress-nginx 커스텀 스니펫이 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰과 보안 비밀을 검색하도록 허용합니다.

    어떻게 해야 하나요?

    이 보안 문제는 GKE 클러스터 인프라나 GKE Enterprise 환경 클러스터 인프라에 영향을 주지 않습니다. 워크로드 배포에서 ingress-nginx를 사용하는 경우 이 보안 문제를 알고 있어야 합니다. 자세한 내용은 ingress-nginx 문제 7837을 참조하세요.

    없음

    GKE 클러스터 사용

    설명 심각도

    Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에서 보안 문제가 발견되었습니다. ingress-nginx 커스텀 스니펫이 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰과 보안 비밀을 검색하도록 허용합니다.

    어떻게 해야 하나요?

    이 보안 문제는 GKE 클러스터 인프라나 GKE Enterprise 환경 클러스터 인프라에 영향을 주지 않습니다. 워크로드 배포에서 ingress-nginx를 사용하는 경우 이 보안 문제를 알고 있어야 합니다. 자세한 내용은 ingress-nginx 문제 7837을 참조하세요.

    없음

    GKE 클러스터 사용

    설명 심각도

    Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에서 보안 문제가 발견되었습니다. ingress-nginx 커스텀 스니펫이 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰과 보안 비밀을 검색하도록 허용합니다.

    어떻게 해야 하나요?

    이 보안 문제는 GKE 클러스터 인프라나 GKE Enterprise 환경 클러스터 인프라에 영향을 주지 않습니다. 워크로드 배포에서 ingress-nginx를 사용하는 경우 이 보안 문제를 알고 있어야 합니다. 자세한 내용은 ingress-nginx 문제 7837을 참조하세요.

    없음

    GKE 클러스터 사용

    설명 심각도

    Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에서 보안 문제가 발견되었습니다. ingress-nginx 커스텀 스니펫이 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰과 보안 비밀을 검색하도록 허용합니다.

    어떻게 해야 하나요?

    이 보안 문제는 GKE 클러스터 인프라나 GKE Enterprise 환경 클러스터 인프라에 영향을 주지 않습니다. 워크로드 배포에서 ingress-nginx를 사용하는 경우 이 보안 문제를 알고 있어야 합니다. 자세한 내용은 ingress-nginx 문제 7837을 참조하세요.

    없음

    GCP-2021-019

    게시: 2021년 9월 29일

    GKE

    설명 심각도

    해당 서비스에서 활성 Google Cloud Armor 보안 정책을 삭제하는 v1beta1 API를 사용하여 BackendConfig 리소스를 업데이트할 때 알려진 문제가 있습니다.

    영향을 받는지 여부는 어떻게 확인하나요?

    BackendConfig가 이미 v1beta1 API로 업데이트되었으면 Google Cloud Armor 보안 정책이 삭제되었을 수 있습니다. 이 문제가 발생했는지 확인하려면 다음 명령어를 실행합니다.

    
    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • 응답이 출력을 반환하는 경우: 해당 클러스터에 이 문제로 인한 영향이 있습니다. 이 명령어 출력은 이 문제의 영향을 받는 BackendConfig 리소스 목록(<namespace>/<name>)을 반환합니다.
    • 출력이 비어 있는 경우: 이 문제가 도입된 이후 BackendConfigv1beta1 API를 사용하여 업데이트되지 않았습니다. 이후 BackendConfig 업데이트 시에는 v1만 사용해야 합니다.

    이 문제는 다음 GKE 버전에 영향을 줍니다.

    • 1.18.19-gke.1400~1.18.20-gke.5100(제외)
    • 1.19.10-gke.700~1.19.14-gke.300(제외)
    • 1.20.6-gke.700~1.20.9-gke.900(제외)
    • 1.21~1.21.1-gke.2700(제외)

    BackendConfig를 통해 인그레스 게이트웨이에서 Google Cloud Armor를 구성하지 않으면 이 문제가 클러스터에 영향을 주지 않습니다.

    어떻게 해야 하나요?

    이 문제를 패치하고 v1beta1 BackendConfig 리소스를 안전하게 사용할 수 있게 해주는 다음 업데이트된 버전 중 하나로 GKE 제어 영역을 업그레이드합니다.

    • 1.21.1-gke.2700 이상
    • 1.20.9-gke.900 이상
    • 1.19.14-gke.300 이상
    • 1.18.20-gke.5100 이상

    이 문제는 또한 BackendConfig리소스의 v1beta1 배포를 방지하여 예방할 수 있습니다. BackendConfig를 통해 인그레스 리소스에서 Google Cloud Armor를 구성했고 위 단계를 통해 영향을 받은 것이 확인될 경우에는 cloud.google.com/v1 API 버전을 사용해서 현재 BackendConfig 리소스에 업데이트를 푸시하여 Google Cloud Armor를 다시 사용 설정합니다.

    이 문제를 방지하려면 v1 BackendConfig API를 사용하여 BackendConfig에만 업데이트를 적용합니다.

    v1 BackendConfigv1beta1과 동일한 모든 필드를 지원하고, 브레이킹 체인지를 만들지 않으므로, API 필드를 투명하게 업데이트할 수 있습니다. 이렇게 하려면 모든 활성 BackendConfig 매니페스트의 apiVersion 필드를 cloud.google.com/v1으로 바꾸고 cloud.google.com/v1beta1을 사용하지 않습니다.

    다음 샘플 매니페스트는 v1 API를 사용하는 BackendConfig 리소스를 설명합니다.

    
    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    일반적으로 BackendConfig 리소스를 업데이트하는 CI/CD 시스템 또는 도구가 있으면 해당 시스템에서 cloud.google.com/v1 API 그룹을 사용하는지 확인합니다.

    낮음

    GCP-2021-022

    게시됨: 2021-09-23

    GKE 클러스터 사용

    설명 심각도

    키 생성에 사용되는 시드 키를 예측할 수 있는 VMware용 GKE 버전 1.8 및 1.8.1의 AIS(GKE Enterprise Identity Service) LDAP 모듈에서 취약점이 발견되었습니다. 이 취약점으로 인해 인증된 사용자는 임의 클레임을 추가하고 권한을 무기한 에스컬레이션할 수 있습니다.

    기술 세부정보

    AIS 코드에 대한 최근 추가로 인해 golang의 math/rand 모듈을 사용하는 대칭 키가 생성되었습니다. 이것은 보안에 민감한 코드에 적합하지 않습니다. 이 모듈은 예측 가능한 키를 생성하는 방식으로 사용됩니다. ID 확인 중에는 보안 토큰 서비스(STS) 키가 생성되고, 이후 간단하게 파생할 수 있는 대칭 키로 암호화됩니다.

    어떻게 해야 하나요?

    이 취약점은 VMware용 GKE 버전 1.8 및 1.8.1에서 AIS를 사용하는 고객에만 영향을 줍니다. VMware용 GKE 1.8 사용자의 경우 다음 버전으로 클러스터를 업그레이드합니다.

    • 1.8.2
    높음

    GCP-2021-021

    게시: 2021년 9월 22일
    참조: CVE-2020-8561

    GKE

    설명 심각도

    보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 kube-apiserver 요청을 이 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다.

    기술 세부정보

    이 취약점에 따라 MutatingWebhookConfiguration 또는 ValidatingWebhookConfiguration 요청의 응답을 제어하는 작업자가 kube-apiserver 요청을 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다. 로그 수준이 10으로 설정되었을 때 이 사용자가 kube-apiserver 로그를 볼 수 있으면 리디렉션된 응답과 로그의 헤더를 볼 수 있습니다.

    이 문제는 API 서버의 특정 매개변수를 변경하여 완화될 수 있습니다.

    어떻게 해야 하나요?

    현재로서는 별도의 조치를 취하지 않으셔도 됩니다.

    현재 사용 가능한 GKE 및 GKE Enterprise 버전에는 이 유형의 공격을 방어하는 다음과 같은 완화 기술이 구현되었습니다.

    • kube-apiserver--profiling 플래그가 false로 설정됩니다.
    • kube-apiserver 로그 수준이 10 미만으로 설정됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2020-8561

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 kube-apiserver 요청을 이 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다.

    기술 세부정보

    이 취약점에 따라 MutatingWebhookConfiguration 또는 ValidatingWebhookConfiguration 요청의 응답을 제어하는 작업자가 kube-apiserver 요청을 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다. 로그 수준이 10으로 설정되었을 때 이 사용자가 kube-apiserver 로그를 볼 수 있으면 리디렉션된 응답과 로그의 헤더를 볼 수 있습니다.

    이 문제는 API 서버의 특정 매개변수를 변경하여 완화될 수 있습니다.

    어떻게 해야 하나요?

    현재로서는 별도의 조치를 취하지 않으셔도 됩니다.

    현재 사용 가능한 GKE 및 GKE Enterprise 버전에는 이 유형의 공격을 방어하는 다음과 같은 완화 기술이 구현되었습니다.

    • kube-apiserver--profiling 플래그가 false로 설정됩니다.
    • kube-apiserver 로그 수준이 10 미만으로 설정됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2020-8561

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 kube-apiserver 요청을 이 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다.

    기술 세부정보

    이 취약점에 따라 MutatingWebhookConfiguration 또는 ValidatingWebhookConfiguration 요청의 응답을 제어하는 작업자가 kube-apiserver 요청을 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다. 로그 수준이 10으로 설정되었을 때 이 사용자가 kube-apiserver 로그를 볼 수 있으면 리디렉션된 응답과 로그의 헤더를 볼 수 있습니다.

    이 문제는 API 서버의 특정 매개변수를 변경하여 완화될 수 있습니다.

    어떻게 해야 하나요?

    현재로서는 별도의 조치를 취하지 않으셔도 됩니다.

    현재 사용 가능한 GKE 및 GKE Enterprise 버전에는 이 유형의 공격을 방어하는 다음과 같은 완화 기술이 구현되었습니다.

    • kube-apiserver--profiling 플래그가 false로 설정됩니다.
    • kube-apiserver 로그 수준이 10 미만으로 설정됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2020-8561

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 kube-apiserver 요청을 이 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다.

    기술 세부정보

    이 취약점에 따라 MutatingWebhookConfiguration 또는 ValidatingWebhookConfiguration 요청의 응답을 제어하는 작업자가 kube-apiserver 요청을 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다. 로그 수준이 10으로 설정되었을 때 이 사용자가 kube-apiserver 로그를 볼 수 있으면 리디렉션된 응답과 로그의 헤더를 볼 수 있습니다.

    이 문제는 API 서버의 특정 매개변수를 변경하여 완화될 수 있습니다.

    어떻게 해야 하나요?

    현재로서는 별도의 조치를 취하지 않으셔도 됩니다.

    현재 사용 가능한 GKE 및 GKE Enterprise 버전에는 이 유형의 공격을 방어하는 다음과 같은 완화 기술이 구현되었습니다.

    • kube-apiserver--profiling 플래그가 false로 설정됩니다.
    • kube-apiserver 로그 수준이 10 미만으로 설정됩니다.

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2020-8561

    중간 규모

    GCP-2021-018

    게시: 2021년 9월 15일
    업데이트: 2021년 9월 24일
    참조: CVE-2021-25741

    2021년 9월 24일 업데이트: 베어메탈용 GKE 게시판이 추가 패치 버전으로 업데이트되었습니다.

    2021년 9월 20일 업데이트: 베어메탈용 GKE에 대한 게시판 추가

    2021년 9월 16일 업데이트: VMware용 GKE에 대한 게시판 추가


    GKE

    설명 심각도

    Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다.

    기술 세부정보:

    CVE-2021-25741에서 공격자는 마운트된 emptyDir에서 노드의 루트( / ) 파일 시스템에 대한 심볼릭 링크를 만들 수 있습니다. 그러면 kubelet이 심볼릭 링크를 따라 호스트 루트를 컨테이너에 마운트합니다.

    어떻게 해야 하나요?

    최신 패치를 활용하기 위해 다음 버전 이상 중 하나로 노드 풀을 업그레이드하는 것이 좋습니다.

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    다음 버전에는 수정 사항도 포함되어 있습니다.

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    높음

    GKE 클러스터 사용

    설명 심각도

    Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다.

    기술 세부정보:

    CVE-2021-25741에서 공격자는 마운트된 emptyDir에서 노드의 루트( / ) 파일 시스템에 대한 심볼릭 링크를 만들 수 있습니다. 그러면 kubelet이 심볼릭 링크를 따라 호스트 루트를 컨테이너에 마운트합니다.

    어떻게 해야 하나요?

    2021년 9월 24일 업데이트: 패치된 버전 1.8.3 및 1.7.4를 이제 사용할 수 있습니다.

    2021년 9월 17일 업데이트됨: 패치가 포함된 사용 가능한 버전 목록이 수정되었습니다.


    다음 VMware용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 클러스터 및 사용자 클러스터를 다음 버전 중 하나로 업그레이드합니다.

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    높음

    GKE 클러스터 사용

    설명 심각도

    Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다.

    기술 세부정보:

    CVE-2021-25741에서 공격자는 마운트된 emptyDir에서 노드의 루트( / ) 파일 시스템에 대한 심볼릭 링크를 만들 수 있습니다. 그러면 kubelet이 심볼릭 링크를 따라 호스트 루트를 컨테이너에 마운트합니다.

    어떻게 해야 하나요?

    2021년 9월 16일 업데이트: AWSClusterAWSNodePool 객체에 대해 지원되는 gke-versions 목록이 추가되었습니다.


    다음 AWS 기반 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 다음을 수행하는 것이 좋습니다.

    • AWSManagementService, AWSCluster, AWSNodePool 객체를 다음 버전으로 업그레이드합니다.
      • 1.8.2
    • AWSClusterAWSNodePool 객체의 gke-version을 지원되는 Kubernetes 버전 중 하나로 업그레이드합니다.
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    높음

    GKE 클러스터 사용

    설명 심각도

    Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다.

    기술 세부정보:

    CVE-2021-25741에서 공격자는 마운트된 emptyDir에서 노드의 루트( / ) 파일 시스템에 대한 심볼릭 링크를 만들 수 있습니다. 그러면 kubelet이 심볼릭 링크를 따라 호스트 루트를 컨테이너에 마운트합니다.

    어떻게 해야 하나요?

    다음 베어메탈용 GKE 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 관리자 클러스터 및 사용자 클러스터를 다음 버전 중 하나로 업그레이드합니다.

    • 1.8.3
    • 1.7.4
    높음

    GCP-2021-017

    게시: 2021년 9월 1일
    업데이트: 2021년 9월 23일
    참조: CVE-2021-33909,
    CVE-2021-33910

    GKE

    설명 심각도
    2021년 9월 23일 업데이트

    GKE Sandbox 내에서 실행되는 컨테이너는 컨테이너 내부에서 발생한 공격에 대한 이 취약점의 영향을 받지 않습니다.


    2021년 9월 15일 업데이트

    다음 GKE 버전은 취약점을 해결합니다.

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Linux 커널에서 2개의 보안 취약점 CVE-2021-33909CVE-2021-33910이 발견되었습니다. OS 비정상 종료 또는 권한이 없는 사용자의 루트 에스컬레이션으로 이어질 수 있습니다. 이 취약점은 모든 GKE 노드 운영체제(COS 및 Ubuntu)에 영향을 미칩니다.

    기술 세부정보:

    CVE-2021-33909에서 Linux 커널의 파일 시스템 레이어는 seq 버퍼 할당을 올바르게 제한하지 않으므로 정수 오버플로, 범위를 벗어난 쓰기, 루트 에스컬레이션으로 이어집니다.
    CVE-2021-33910에서 systemd에는 메모리 할당의 크기 값(로컬 공격자가 제어하는 경로 이름에 strdupaalloca 포함)이 과도하게 설정되어 운영체제의 비정상 종료로 이어집니다.

    어떻게 해야 하나요?

    다음 GKE 버전용 Linux 노드 이미지 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 중 하나로 업그레이드하세요.

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    높음

    GKE 클러스터 사용

    설명 심각도

    Linux 커널에서 2개의 보안 취약점 CVE-2021-33909CVE-2021-33910이 발견되었습니다. OS 비정상 종료 또는 권한이 없는 사용자의 루트 에스컬레이션으로 이어질 수 있습니다. 이 취약점은 모든 GKE 노드 운영체제(COS 및 Ubuntu)에 영향을 미칩니다.

    기술 세부정보:

    CVE-2021-33909에서 Linux 커널의 파일 시스템 레이어는 seq 버퍼 할당을 올바르게 제한하지 않으므로 정수 오버플로, 범위를 벗어난 쓰기, 루트 에스컬레이션으로 이어집니다.
    CVE-2021-33910에서 systemd에는 메모리 할당의 크기 값(로컬 공격자가 제어하는 경로 이름에 strdupaalloca 포함)이 과도하게 설정되어 운영체제의 비정상 종료로 이어집니다.

    어떻게 해야 하나요?

    AWS 기반 GKE의 Linux 노드 이미지 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 중 하나로 업그레이드하세요.

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    높음

    GKE 클러스터 사용

    설명 심각도

    Linux 커널에서 2개의 보안 취약점 CVE-2021-33909CVE-2021-33910이 발견되었습니다. OS 비정상 종료 또는 권한이 없는 사용자의 루트 에스컬레이션으로 이어질 수 있습니다. 이 취약점은 모든 GKE 노드 운영체제(COS 및 Ubuntu)에 영향을 미칩니다.

    기술 세부정보:

    CVE-2021-33909에서 Linux 커널의 파일 시스템 레이어는 seq 버퍼 할당을 올바르게 제한하지 않으므로 정수 오버플로, 범위를 벗어난 쓰기, 루트 에스컬레이션으로 이어집니다.
    CVE-2021-33910에서 systemd에는 메모리 할당의 크기 값(로컬 공격자가 제어하는 경로 이름에 strdupaalloca 포함)이 과도하게 설정되어 운영체제의 비정상 종료로 이어집니다.

    어떻게 해야 하나요?

    VMware용 GKE의 Linux 및 COS 노드 이미지의 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 중 하나로 업그레이드하세요.

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4(Linux만 해당)

    버전 기록 - Kubernetes 및 노드 커널 버전을 참조하세요.

    높음

    GCP-2021-015

    게시: 2021년 7월 13일
    업데이트: 2021년 7월 15일
    참조: CVE-2021-22555

    GKE

    설명 심각도

    CAP_NET_ADMIN 권한이 있는 악의적인 행위자가 호스트의 루트에 컨테이너 침입을 유발할 수 있는 신규 보안 취약점인 CVE-2021-22555가 발견되었습니다. 이 취약점은 Linux 버전 2.6.19 이상을 실행하는 모든 GKE 클러스터와 VMware용 GKE에 영향을 미칩니다.

    기술 세부정보

    이 공격에서 Linux의 netfilter 하위 시스템에 있는 setsockopt에서 범위를 벗어난 쓰기로 인해 힙 손상(및 이에 따른 서비스 거부)과 권한 에스컬레이션이 발생할 수 있습니다.

    어떻게 해야 하나요?

    GKE의 다음 Linux 버전이 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 중 하나로 업그레이드하세요.

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2021-22555

    높음

    GKE 클러스터 사용

    설명 심각도

    CAP_NET_ADMIN 권한이 있는 악의적인 행위자가 호스트의 루트에 컨테이너 침입을 유발할 수 있는 신규 보안 취약점인 CVE-2021-22555가 발견되었습니다. 이 취약점은 Linux 버전 2.6.19 이상을 실행하는 모든 GKE 클러스터와 VMware용 GKE에 영향을 미칩니다.

    기술 세부정보

    이 공격에서 Linux의 netfilter 하위 시스템에 있는 setsockopt에서 범위를 벗어난 쓰기로 인해 힙 손상(및 이에 따른 서비스 거부)과 권한 에스컬레이션이 발생할 수 있습니다.

    어떻게 해야 하나요?

    다음 VMware용 GKE의 Linux 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. 클러스터를 다음 버전 중 하나로 업그레이드하세요.

    • 1.8
    • 1.7.3
    • 1.6.4

    이 패치로 어떤 취약점이 해결되나요?

    CVE-2021-22555

    높음

    GCP-2021-014

    게시: 2021년 7월 5일
    참조: CVE-2021-34527

    GKE

    설명 심각도

    Microsoft는 Windows 서버에서 인쇄 스풀러에 영향을 주는 원격 코드 실행(RCE) 취약점에 대한 보안 게시글 CVE-2021-34527을 게시했습니다. CERT 조정 센터(CERT/CC)는 PrintNightmare, Critical Windows Print Spooler Vulnerability라는 Windows 인쇄 스풀러에도 영향을 주는 'PrintNightmare'라는 표현을 이용해서 관련 취약점에 대한 업데이트 정보를 게시했습니다.

    어떻게 해야 하나요?

    별도의 조치가 필요하지 않습니다. GKE Windows 노드가 영향을 받는 스풀러 서비스를 기본 이미지의 일부로 포함하지 않으므로, GKE Windows 배포는 이 공격의 영향을 받지 않습니다.

    이 게시글로 어떤 취약점이 해결되나요?

    높음

    GCP-2021-012

    게시: 2021년 7월 1일
    업데이트: 2021년 7월 9일
    참조: CVE-2021-34824

    GKE

    설명 심각도

    어떻게 해야 하나요?

    Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-34824)을 공개했습니다. Istio에는 게이트웨이 및 DestinationRule credentialName 필드에 지정된 사용자 인증 정보를 여러 네임스페이스에서 액세스할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.

    기술 세부정보:

    Istio 보안 게이트웨이 또는 DestinationRule 사용 워크로드는 credentialName 구성을 통해 Kubernetes 보안 비밀에서 TLS 비공개 키 및 인증서를 로드할 수 있습니다. Istio 1.8 이상부터는 보안 비밀을 istiod에서 읽고 XDS를 통해 게이트웨이 및 워크로드로 전달됩니다.

    일반적으로 게이트웨이 또는 워크로드 배포는 네임스페이스 내 보안 비밀에 저장된 TLS 인증서 및 비공개 키에만 액세스할 수 있습니다. 하지만 istiod의 버그로 인해 Istio XDS API에 액세스하도록 승인된 클라이언트는 istiod에 캐시된 모든 TLS 인증서와 비공개 키를 검색할 수 있습니다.

    어떻게 해야 하나요?

    GKE 클러스터는 기본적으로 Istio를 실행하지 않으며, 사용 설정된 경우 이 공격에 취약하지 않은 Istio 버전 1.6을 사용합니다. 클러스터에서 1.8 이상으로 Istio를 설치했거나 업그레이드한 경우 지원되는 최신 버전으로 Istio를 업그레이드합니다.

    높음

    GKE 클러스터 사용

    설명 심각도

    어떻게 해야 하나요?

    Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-34824)을 공개했습니다. Istio에는 게이트웨이 및 DestinationRule credentialName 필드에 지정된 사용자 인증 정보를 여러 네임스페이스에서 액세스할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.

    기술 세부정보:

    Istio 보안 게이트웨이 또는 DestinationRule 사용 워크로드는 credentialName 구성을 통해 Kubernetes 보안 비밀에서 TLS 비공개 키 및 인증서를 로드할 수 있습니다. Istio 1.8 이상부터는 보안 비밀을 istiod에서 읽고 XDS를 통해 게이트웨이 및 워크로드로 전달됩니다.

    일반적으로 게이트웨이 또는 워크로드 배포는 네임스페이스 내 보안 비밀에 저장된 TLS 인증서 및 비공개 키에만 액세스할 수 있습니다. 하지만 istiod의 버그로 인해 Istio XDS API에 액세스하도록 승인된 클라이언트는 istiod에 캐시된 모든 TLS 인증서와 비공개 키를 검색할 수 있습니다.

    어떻게 해야 하나요?

    VMware용 Anthos 클러스터 v1.6 및 v1.7은 이 공격에 취약하지 않습니다. VMware용 Anthos 클러스터 v1.8이 취약합니다.

    VMware용 Anthos 클러스터 v1.8을 사용하는 경우 다음 패치가 적용된 버전 또는 이후 버전으로 업그레이드합니다.

    • 1.8.0-gke.25
    높음

    GKE 클러스터 사용

    설명 심각도

    어떻게 해야 하나요?

    Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-34824)을 공개했습니다. Istio에는 게이트웨이 및 DestinationRule credentialName 필드에 지정된 사용자 인증 정보를 여러 네임스페이스에서 액세스할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.

    기술 세부정보:

    Istio 보안 게이트웨이 또는 DestinationRule 사용 워크로드는 credentialName 구성을 통해 Kubernetes 보안 비밀에서 TLS 비공개 키 및 인증서를 로드할 수 있습니다. Istio 1.8 이상부터는 보안 비밀을 istiod에서 읽고 XDS를 통해 게이트웨이 및 워크로드로 전달됩니다.

    일반적으로 게이트웨이 또는 워크로드 배포는 네임스페이스 내 보안 비밀에 저장된 TLS 인증서 및 비공개 키에만 액세스할 수 있습니다. 하지만 istiod의 버그로 인해 Istio XDS API에 액세스하도록 승인된 클라이언트는 istiod에 캐시된 모든 TLS 인증서와 비공개 키를 검색할 수 있습니다. 베어메탈용 Anthos 클러스터 v1.8.0로 생성되었거나 업그레이드된 클러스터는 이 CVE의 영향을 받습니다.

    어떻게 해야 하나요?

    Anthos v1.6 및 1.7은 이 공격에 취약하지 않습니다. v1.8.0 클러스터가 있으면 bmctl의 1.8.1 버전을 다운로드 및 설치하고 클러스터를 다음 패치 적용된 버전으로 업그레이드합니다.

    • 1.8.1
    높음

    GCP-2021-011

    게시: 2021년 6월 4일
    업데이트: 2021년 10월 19일
    참조: CVE-2021-30465

    2021년 10월 19일 업데이트: VMware의 GKE, AWS 기반 GKE, 베어메탈용 GKE의 게시판이 추가되었습니다.

    GKE

    설명 심각도

    runc에서 발견된 노드 파일 시스템에 대해 전체 액세스를 허용할 수 있는 새로운 보안 취약점(CVE-2021-30465)이 최근 보안 커뮤니티에서 공개되었습니다.

    GKE의 경우 이 취약점을 악용하기 위해서는 포드 만들기 기능이 필요하기 때문에 이 취약점의 심각도가 보통으로 지정되었습니다.

    기술 세부정보

    runc 패키지는 볼륨을 마운트할 때 심볼릭 링크 교환 공격에 취약합니다.

    이 특정 공격에서 사용자는 단일 노드에서 심볼릭 링크로 동일한 볼륨 마운트를 공유하는 모든 여러 포드를 동시에 시작하여 경합 조건을 악용할 수 있습니다.

    공격이 성공하면 포드 중 하나가 노드의 파일 시스템을 루트 권한으로 마운트합니다.

    어떻게 해야 하나요?

    이 취약점을 해결하는 runc에 대한 새로운 패치(1.0.0-rc95)가 출시되었습니다.

    GKE 클러스터를 다음 업데이트된 버전 중 하나로 업그레이드합니다.

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    runc에서 발견된 노드 파일 시스템에 대해 전체 액세스를 허용할 수 있는 새로운 보안 취약점(CVE-2021-30465)이 최근 보안 커뮤니티에서 공개되었습니다.

    VMware용 GKE의 경우 이 취약점을 악용하려면 포드 만들기 기능이 필요하기 때문에 이 취약점의 심각도가 보통으로 지정되었습니다.

    기술 세부정보

    runc 패키지는 볼륨을 마운트할 때 심볼릭 링크 교환 공격에 취약합니다.

    이 특정 공격에서 사용자는 단일 노드에서 심볼릭 링크로 동일한 볼륨 마운트를 공유하는 모든 여러 포드를 동시에 시작하여 경합 조건을 악용할 수 있습니다.

    공격이 성공하면 포드 중 하나가 노드의 파일 시스템을 루트 권한으로 마운트합니다.

    어떻게 해야 하나요?

    이 취약점을 해결하는 runc에 대한 새로운 패치가 출시되었습니다. VMware용 GK를 다음 버전 중 하나로 업그레이드합니다.

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    runc에서 발견된 노드 파일 시스템에 대해 전체 액세스를 허용할 수 있는 새로운 보안 취약점(CVE-2021-30465)이 최근 보안 커뮤니티에서 공개되었습니다.

    OS 수준 취약점이므로 AWS 기반 GKE는 취약하지 않습니다.

    기술 세부정보

    runc 패키지는 볼륨을 마운트할 때 심볼릭 링크 교환 공격에 취약합니다.

    이 특정 공격에서 사용자는 단일 노드에서 심볼릭 링크로 동일한 볼륨 마운트를 공유하는 모든 여러 포드를 동시에 시작하여 경합 조건을 악용할 수 있습니다.

    공격이 성공하면 포드 중 하나가 노드의 파일 시스템을 루트 권한으로 마운트합니다.

    어떻게 해야 하나요?

    AWS 기반 GKE가 실행 중인 OS 버전이 업데이트된 runc 패키지가 있는 최신 OS 버전으로 업그레이드되었는지 확인합니다.

    없음

    GKE 클러스터 사용

    설명 심각도

    runc에서 발견된 노드 파일 시스템에 대해 전체 액세스를 허용할 수 있는 새로운 보안 취약점(CVE-2021-30465)이 최근 보안 커뮤니티에서 공개되었습니다.

    OS 수준 취약점이므로 베어메탈용 GKE는 취약하지 않습니다.

    기술 세부정보

    runc 패키지는 볼륨을 마운트할 때 심볼릭 링크 교환 공격에 취약합니다.

    이 특정 공격에서 사용자는 단일 노드에서 심볼릭 링크로 동일한 볼륨 마운트를 공유하는 모든 여러 포드를 동시에 시작하여 경합 조건을 악용할 수 있습니다.

    공격이 성공하면 포드 중 하나가 노드의 파일 시스템을 루트 권한으로 마운트합니다.

    어떻게 해야 하나요?

    베어메탈용 Google Distributed Cloud Virtual을 실행하는 OS 버전이 업데이트된 runc 패키지가 있는 최신 OS 버전으로 업그레이드되었는지 확인합니다.

    없음

    GCP-2021-006

    게시: 2021년 5월 11일
    참조: CVE-2021-31920

    GKE

    설명 심각도

    Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-31920)을 공개했습니다.

    Istio에는 슬래시 또는 이스케이프된 슬래시 문자가 여러 개 있는 HTTP 요청이 경로 기반 승인 규칙을 사용할 때 Istio 승인 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.

    어떻게 해야 하나요?

    GKE 클러스터를 업데이트하고 다시 구성하는 것이 좋습니다. 취약점을 성공적으로 해결하려면 다음 두 단계를 완료해야 합니다.

    1. 클러스터 업데이트: 최대한 빨리 다음 안내를 완료하여 클러스터를 최신 패치 버전으로 업그레이드합니다.
      • Istio on GKE 1.6을 사용하는 경우:

        최신 패치 출시 버전은 1.6.14-gke.3입니다. 업그레이드 안내를 따라 클러스터를 최신 버전으로 업그레이드합니다.

      • Istio on GKE 1.4를 사용하는 경우:
      • Istio on GKE 1.4 출시 버전은 더 이상 Istio에서 지원되지 않으며 Google은 이러한 버전에 CVE 수정사항을 백포트하지 않습니다. Istio 업그레이드 안내를 따라 클러스터를 1.6으로 업그레이드한 후 위 안내를 따라 최신 버전의 Istio on GKE 1.6을 가져옵니다.

    2. Istio 구성:

      클러스터가 패치되면 Istio on GKE를 다시 구성해야 합니다. 시스템을 올바르게 구성하려면 보안 권장사항 가이드를 참조하세요.

    높음

    GCP-2021-004

    게시: 2021년 5월 6일
    참조: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258

    GKE

    설명 심각도

    Envoy 및 Istio 프로젝트는 최근 공격자가 Envoy를 손상시킬 수 있는 새로운 몇 가지 보안 취약점(CVE-2021-28683, CVE-2021-28682, CVE-2021-29258)을 발표했습니다.

    GKE 클러스터는 기본적으로 Istio를 실행하지 않으므로 취약하지 않습니다. Istio가 클러스터에 설치되고 인터넷에 서비스를 노출하도록 구성된 경우 서비스는 서비스 거부에 취약할 수 있습니다.

    어떻게 해야 하나요?

    이 취약점을 해결하려면 다음 패치 버전 중 하나로 GKE 제어 영역을 업그레이드합니다.

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    중간 규모

    GKE 클러스터 사용

    설명 심각도

    Envoy 및 Istio 프로젝트는 최근 공격자가 Envoy를 손상시킬 수 있는 새로운 몇 가지 보안 취약점(CVE-2021-28683, CVE-2021-28682, CVE-2021-29258)을 발표했습니다.

    VMware용 GKE는 기본적으로 Envoy를 인그레스에 사용하므로 인그레스 서비스는 서비스 거부에 취약할 수 있습니다.

    어떻게 해야 하나요?

    이러한 취약점을 해결하려면 VMware용 GKE를 출시되는 다음 패치 버전 중 하나로 업그레이드하세요.

    • 1.5.4
    • 1.6.3
    • 1.7.1
    중간 규모

    GKE 클러스터 사용

    업데이트: 2021년 5월 6일

    설명 심각도

    Envoy 및 Istio 프로젝트는 최근 공격자가 Envoy를 손상시킬 수 있는 새로운 몇 가지 보안 취약점(CVE-2021-28683, CVE-2021-28682, CVE-2021-29258)을 발표했습니다.

    베어메탈용 Google Distributed Cloud Virtual은 기본적으로 Envoy를 인그레스에 사용하므로 인그레스 서비스가 서비스 거부에 취약할 수 있습니다.

    어떻게 해야 하나요?

    이러한 취약점을 해결하려면 베어메탈용 Google Distributed Cloud Virtual 클러스터를 출시되는 경우 다음 패치 버전 중 하나로 업그레이드하세요.

    • 1.6.3
    • 1.7.1
    중간 규모

    GCP-2021-003

    게시: 2021년 4월 19일
    참조: CVE-2021-25735

    GKE

    설명 심각도

    Kubernetes 프로젝트는 최근에 노드 업데이트가 검증 허용 웹훅을 우회할 수 있는 새로운 보안 취약점(CVE-2021-25735)을 발표했습니다.

    공격자가 충분한 권한을 가지고 있고 이전 Node 객체 속성(예: Node.NodeSpec의 필드)을 사용하는 검증 허용 웹훅이 구현된 시나리오에서 공격자는 클러스터를 손상시킬 수 있는 노드의 속성을 업데이트할 수 있습니다. GKE 및 Kubernetes의 기본 제공 허용 컨트롤러에서 시행하는 정책은 어떠한 영향도 받지 않지만 고객이 설치한 추가 허용 웹훅을 확인하는 것이 좋습니다.

    어떻게 해야 하나요?

    이 취약점을 해결하려면 GKE 클러스터를 다음 패치 버전 중 하나로 업그레이드합니다.

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    중간 규모

    GKE 클러스터 사용

    설명 심각도

    Kubernetes 프로젝트는 최근에 노드 업데이트가 검증 허용 웹훅을 우회할 수 있는 새로운 보안 취약점(CVE-2021-25735)을 발표했습니다.

    공격자가 충분한 권한을 가지고 있고 이전 Node 객체 속성(예: Node.NodeSpec의 필드)을 사용하는 검증 허용 웹훅이 구현된 시나리오에서 공격자는 클러스터를 손상시킬 수 있는 노드의 속성을 업데이트할 수 있습니다. GKE 및 Kubernetes의 기본 제공 허용 컨트롤러에서 시행하는 정책은 어떠한 영향도 받지 않지만 고객이 설치한 추가 허용 웹훅을 확인하는 것이 좋습니다.

    어떻게 해야 하나요?

    출시 예정인 패치 버전에 이 취약점의 완화 방법이 포함됩니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    Kubernetes 프로젝트는 최근에 노드 업데이트가 검증 허용 웹훅을 우회할 수 있는 새로운 보안 취약점(CVE-2021-25735)을 발표했습니다.

    공격자가 충분한 권한을 가지고 있고 이전 Node 객체 속성(예: Node.NodeSpec의 필드)을 사용하는 검증 허용 웹훅이 구현된 시나리오에서 공격자는 클러스터를 손상시킬 수 있는 노드의 속성을 업데이트할 수 있습니다. GKE 및 Kubernetes의 기본 제공 허용 컨트롤러에서 시행하는 정책은 어떠한 영향도 받지 않지만 고객이 설치한 추가 허용 웹훅을 확인하는 것이 좋습니다.

    어떻게 해야 하나요?

    출시 예정인 패치 버전에 이 취약점의 완화 방법이 포함됩니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    Kubernetes 프로젝트는 최근에 노드 업데이트가 검증 허용 웹훅을 우회할 수 있는 새로운 보안 취약점(CVE-2021-25735)을 발표했습니다.

    공격자가 충분한 권한을 가지고 있고 이전 Node 객체 속성(예: Node.NodeSpec의 필드)을 사용하는 검증 허용 웹훅이 구현된 시나리오에서 공격자는 클러스터를 손상시킬 수 있는 노드의 속성을 업데이트할 수 있습니다. GKE 및 Kubernetes의 기본 제공 허용 컨트롤러에서 시행하는 정책은 어떠한 영향도 받지 않지만 고객이 설치한 추가 허용 웹훅을 확인하는 것이 좋습니다.

    어떻게 해야 하나요?

    출시 예정인 패치 버전에 이 취약점의 완화 방법이 포함됩니다.

    중간 규모

    GCP-2021-001

    게시: 2021년 1월 28일
    참조: CVE-2021-3156

    GKE

    설명 심각도

    CVE-2021-3156의 설명대로 최근 Linux 유틸리티 sudo에서 취약점이 발견되었습니다. 이 취약점은 sudo가 설치된 시스템에서 권한 없는 로컬 셸 액세스 권한을 가진 공격자를 허용하여 공격자의 권한을 시스템의 루트로 에스컬레이션할 수 있습니다.

    Google Kubernetes Engine(GKE) 클러스터는 이 취약점의 영향을 받지 않습니다.

    • GKE 노드에 SSH로 연결하도록 승인된 사용자는 이미 높은 권한이 있는 것으로 간주되며 sudo를 사용하여 기본적으로 루트 권한을 얻을 수 있습니다. 이 시나리오에서는 취약점에 추가 권한 에스컬레이션 경로가 생성되지 않습니다.
    • 대부분의 GKE 시스템 컨테이너는 셸 또는 sudo가 설치되지 않은 distroless 기본 이미지에서 빌드됩니다. 다른 이미지는 sudo가 포함되지 않은 debian 기본 이미지에서 빌드됩니다. sudo가 있어도 컨테이너 내부의 sudo에 액세스하면 컨테이너 경계로 인해 호스트에 액세스할 수 없습니다.

    어떻게 해야 하나요?

    GKE 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요 없습니다.

    GKE는 이 취약점에 대한 패치를 정기적으로 다음 출시 버전에 적용합니다.

    없음

    GKE 클러스터 사용

    설명 심각도

    CVE-2021-3156의 설명대로 최근 Linux 유틸리티 sudo에서 취약점이 발견되었습니다. 이 취약점은 sudo가 설치된 시스템에서 권한 없는 로컬 셸 액세스 권한을 가진 공격자를 허용하여 공격자의 권한을 시스템의 루트로 에스컬레이션할 수 있습니다.

    VMware용 GKE는 이 취약점의 영향을 받지 않습니다.

    • VMware용 GKE 노드에 SSH로 연결하도록 승인된 사용자는 이미 높은 권한이 있는 것으로 간주되며 sudo를 사용하여 기본적으로 루트 권한을 얻을 수 있습니다. 이 시나리오에서는 취약점에 추가 권한 에스컬레이션 경로가 생성되지 않습니다.
    • 대부분의 VMware용 GKE 시스템은 셸 또는 sudo가 설치되지 않은 distroless 기본 이미지에서 빌드됩니다. 다른 이미지는 sudo가 포함되지 않은 debian 기본 이미지에서 빌드됩니다. sudo가 있어도 컨테이너 내부의 sudo에 액세스하면 컨테이너 경계로 인해 호스트에 액세스할 수 없습니다.

    어떻게 해야 하나요?

    VMware용 GKE 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

    VMware용 GKE에는 이 취약점에 대한 패치를 정기적으로 다음 출시 버전에 적용합니다.

    없음

    GKE 클러스터 사용

    설명 심각도

    CVE-2021-3156의 설명대로 최근 Linux 유틸리티 sudo에서 취약점이 발견되었습니다. 이 취약점은 sudo가 설치된 시스템에서 권한 없는 로컬 셸 액세스 권한을 가진 공격자를 허용하여 공격자의 권한을 시스템의 루트로 에스컬레이션할 수 있습니다.

    AWS 기반 GKE는 이 취약점의 영향을 받지 않습니다.

    • AWS 기반 GKE 노드에 SSH로 연결하도록 승인된 사용자는 이미 높은 권한이 있는 것으로 간주되며 sudo를 사용하여 기본적으로 루트 권한을 얻을 수 있습니다. 이 시나리오에서는 취약점에 추가 권한 에스컬레이션 경로가 생성되지 않습니다.
    • 대부분의 AWS 기반 GKE 시스템 컨테이너는 셸 또는 sudo가 설치되지 않은 distroless 기본 이미지에서 빌드됩니다. 다른 이미지는 sudo가 포함되지 않은 debian 기본 이미지에서 빌드됩니다. sudo가 있어도 컨테이너 내부의 sudo에 액세스하면 컨테이너 경계로 인해 호스트에 액세스할 수 없습니다.

    어떻게 해야 하나요?

    AWS 기반 GKE 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

    AWS 기반 GKE는 이 취약점에 대한 패치를 정기적으로 다음 출시 버전에 적용합니다.

    없음

    GKE 클러스터 사용

    설명 심각도

    CVE-2021-3156의 설명대로 최근 Linux 유틸리티 sudo에서 취약점이 발견되었습니다. 이 취약점은 sudo가 설치된 시스템에서 권한 없는 로컬 셸 액세스 권한을 가진 공격자를 허용하여 공격자의 권한을 시스템의 루트로 에스컬레이션할 수 있습니다.

    베어메탈 클러스터용 Google Distributed Cloud Virtual은 이 취약점의 영향을 받지 않습니다.

    • 베어메탈용 Google Distributed Cloud Virtual 노드에 SSH로 연결하도록 승인된 사용자는 이미 높은 권한이 있는 것으로 간주되며 sudo를 사용하여 기본적으로 루트 권한을 얻을 수 있습니다. 이 시나리오에서는 취약점에 추가 권한 에스컬레이션 경로가 생성되지 않습니다.
    • 대부분의 베어메탈용 Google Distributed Cloud Virtual 시스템 컨테이너는 셸 또는 sudo가 설치되지 않은 distroless 기본 이미지에서 빌드됩니다. 다른 이미지는 sudo가 포함되지 않은 debian 기본 이미지에서 빌드됩니다. sudo가 있어도 컨테이너 내부의 sudo에 액세스하면 컨테이너 경계로 인해 호스트에 액세스할 수 없습니다.

    어떻게 해야 하나요?

    베어메탈용 Google Distributed Cloud Virtual 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

    베어메탈용 Google Distributed Cloud Virtual은 이 취약점에 대한 패치를 정기적으로 다음 출시 버전에 적용합니다.

    없음

    GCP-2020-015

    게시: 2020년 12월 7일
    업데이트: 2021년 12월 22일
    참조: CVE-2020-8554

    2021년 12월 22일 업데이트: gcloud 명령어 대신 gcloud beta를 사용합니다.

    2021년 12월 15일 업데이트: GKE의 추가 완화 기능이 추가되었습니다.

    GKE

    설명 심각도
    업데이트: 2021년 12월 22일 다음 섹션의 GKE 명령어는 gcloud 명령어 대신 gcloud beta를 사용해야 합니다.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    업데이트: 2021년 12월 15일 GKE에서 다음 완화 방법이 제공됩니다.
    1. GKE 버전 1.21부터 기본적으로 새 클러스터에 사용 설정되는 DenyServiceExternalIPs 허용 컨트롤러에서 ExternalIP가 포함된 서비스를 차단합니다.
    2. GKE 버전 1.21로 업그레이드하는 고객은 다음 명령어를 사용하여 ExternalIP가 있는 서비스를 차단할 수 있습니다.
      
      gcloud container clusters update –no-enable-service-externalips
      

    자세한 내용은 클러스터 보안 강화를 참조하세요.


    Kubernetes 프로젝트에서 최근에 발견한 새로운 보안 취약점(CVE-2020-8554)은 LoadBalancer 또는 ClusterIP 유형의 Kubernetes 서비스를 생성할 수 있는 권한을 얻은 공격자가 클러스터의 다른 포드에서 발생하는 네트워크 트래픽을 가로챌 수 있습니다.

    이 취약점 자체는 공격자에게 Kubernetes 서비스를 만들 수 있는 권한을 부여하지 않습니다.

    모든 Google Kubernetes Engine(GKE) 클러스터는 이 취약점의 영향을 받습니다.

    어떻게 해야 하나요?

    Kubernetes는 취약점이 해결되도록 향후 버전에서 이전 버전과 호환되지 않는 디자인을 변경해야 할 수 있습니다.

    여러 사용자가 서비스(예: 멀티 테넌트 클러스터)를 만들 수 있는 권한으로 클러스터에 대한 액세스 권한을 공유하는 경우 그동안 완화 방법을 적용하는 것이 좋습니다. 현재 최선의 완화 방법은 클러스터에서 ExternalIP 사용을 제한하는 것입니다. ExternalIP는 일반적으로 사용되는 기능이 아닙니다.

    다음 방법 중 하나를 사용하여 클러스터에서 ExternalIP 사용을 제한합니다.

    1. 제약조건 템플릿과 함께 GKE Enterprise Policy Controller 또는 Gatekeeper를 사용하여 적용합니다. 예를 들면 다음과 같습니다.
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. 또는 ExternalIP 사용을 방지하기 위해 허용 컨트롤러를 설치합니다. Kubernetes 프로젝트는 이 태스크에 샘플 허용 컨트롤러를 제공합니다.

    Kubernetes 공지의 설명대로 LoadBalancer 유형의 서비스에는 완화 방법이 제공되지 않습니다. 기본적으로 높은 권한이 있는 사용자와 시스템 구성요소에만 이 취약점을 활용하는 데 필요한 container.services.updateStatus 권한이 부여되기 때문입니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도
    업데이트: 2021년 12월 22일 다음 섹션의 GKE 명령어는 gcloud 명령어 대신 gcloud beta를 사용해야 합니다.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    업데이트: 2021년 12월 15일 GKE에서 다음 완화 방법이 제공됩니다.
    1. GKE 버전 1.21부터 기본적으로 새 클러스터에 사용 설정되는 DenyServiceExternalIPs 허용 컨트롤러에서 ExternalIP가 포함된 서비스를 차단합니다.
    2. GKE 버전 1.21로 업그레이드하는 고객은 다음 명령어를 사용하여 ExternalIP가 있는 서비스를 차단할 수 있습니다.
      
      gcloud container clusters update –no-enable-service-externalips
      

    자세한 내용은 클러스터 보안 강화를 참조하세요.


    Kubernetes 프로젝트에서 최근에 발견한 새로운 보안 취약점(CVE-2020-8554)은 LoadBalancer 또는 ClusterIP 유형의 Kubernetes 서비스를 생성할 수 있는 권한을 얻은 공격자가 클러스터의 다른 포드에서 발생하는 네트워크 트래픽을 가로챌 수 있습니다.

    이 취약점 자체는 공격자에게 Kubernetes 서비스를 만들 수 있는 권한을 부여하지 않습니다.

    모든 VMware용 GKE는 이 취약점의 영향을 받습니다.

    어떻게 해야 하나요?

    Kubernetes는 취약점이 해결되도록 향후 버전에서 이전 버전과 호환되지 않는 디자인을 변경해야 할 수 있습니다.

    여러 사용자가 서비스(예: 멀티 테넌트 클러스터)를 만들 수 있는 권한으로 클러스터에 대한 액세스 권한을 공유하는 경우 그동안 완화 방법을 적용하는 것이 좋습니다. 현재 최선의 완화 방법은 클러스터에서 ExternalIP 사용을 제한하는 것입니다. ExternalIP는 일반적으로 사용되는 기능이 아닙니다.

    다음 방법 중 하나를 사용하여 클러스터에서 ExternalIP 사용을 제한합니다.

    1. 제약조건 템플릿과 함께 GKE Enterprise Policy Controller 또는 Gatekeeper를 사용하여 적용합니다. 예를 들면 다음과 같습니다.
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. 또는 ExternalIP 사용을 방지하기 위해 허용 컨트롤러를 설치합니다. Kubernetes 프로젝트는 이 태스크에 샘플 허용 컨트롤러를 제공합니다.

    Kubernetes 공지의 설명대로 LoadBalancer 유형의 서비스에는 완화 방법이 제공되지 않습니다. 기본적으로 높은 권한이 있는 사용자와 시스템 구성요소에만 이 취약점을 활용하는 데 필요한 container.services.updateStatus 권한이 부여되기 때문입니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도
    업데이트: 2021년 12월 22일 다음 섹션의 GKE 명령어는 gcloud 명령어 대신 gcloud beta를 사용해야 합니다.
    
    gcloud beta container clusters update –no-enable-service-externalips
    

    업데이트: 2021년 12월 15일 GKE에서 다음 완화 방법이 제공됩니다.
    1. GKE 버전 1.21부터 기본적으로 새 클러스터에 사용 설정되는 DenyServiceExternalIPs 허용 컨트롤러에서 ExternalIP가 포함된 서비스를 차단합니다.
    2. GKE 버전 1.21로 업그레이드하는 고객은 다음 명령어를 사용하여 ExternalIP가 있는 서비스를 차단할 수 있습니다.
      
      gcloud container clusters update –no-enable-service-externalips
      

    자세한 내용은 클러스터 보안 강화를 참조하세요.


    Kubernetes 프로젝트에서 최근에 발견한 새로운 보안 취약점(CVE-2020-8554)은 LoadBalancer 또는 ClusterIP 유형의 Kubernetes 서비스를 생성할 수 있는 권한을 얻은 공격자가 클러스터의 다른 포드에서 발생하는 네트워크 트래픽을 가로챌 수 있습니다.

    이 취약점 자체는 공격자에게 Kubernetes 서비스를 만들 수 있는 권한을 부여하지 않습니다.

    모든 AWS 기반 GKE는 이 취약점의 영향을 받습니다.

    어떻게 해야 하나요?

    Kubernetes는 취약점이 해결되도록 향후 버전에서 이전 버전과 호환되지 않는 디자인을 변경해야 할 수 있습니다.

    여러 사용자가 서비스(예: 멀티 테넌트 클러스터)를 만들 수 있는 권한으로 클러스터에 대한 액세스 권한을 공유하는 경우 그동안 완화 방법을 적용하는 것이 좋습니다. 현재 최선의 완화 방법은 클러스터에서 ExternalIP 사용을 제한하는 것입니다. ExternalIP는 일반적으로 사용되는 기능이 아닙니다.

    다음 방법 중 하나를 사용하여 클러스터에서 ExternalIP 사용을 제한합니다.

    1. 제약조건 템플릿과 함께 GKE Enterprise Policy Controller 또는 Gatekeeper를 사용하여 적용합니다. 예를 들면 다음과 같습니다.
      
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. 또는 ExternalIP 사용을 방지하기 위해 허용 컨트롤러를 설치합니다. Kubernetes 프로젝트는 이 태스크에 샘플 허용 컨트롤러를 제공합니다.

    Kubernetes 공지의 설명대로 LoadBalancer 유형의 서비스에는 완화 방법이 제공되지 않습니다. 기본적으로 높은 권한이 있는 사용자와 시스템 구성요소에만 이 취약점을 활용하는 데 필요한 container.services.updateStatus 권한이 부여되기 때문입니다.

    중간 규모

    GCP-2020-014

    게시: 2020년 10월 20일
    참조: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    업데이트: 2020년 10월 20일

    설명 심각도

    Kubernetes 프로젝트는 최근에 상세 로깅 옵션이 사용 설정되면 보안 비밀 데이터가 노출될 수 있는 여러 문제를 발견했습니다. 문제는 다음과 같습니다.

    • CVE-2020-8563: vSphere Provider kube-controller-manager의 로그 보안 비밀 유출.
    • CVE-2020-8564: 파일 형식이 잘못되었으며 loglevel 값이 4 이상인 경우 Docker 구성 보안 비밀이 유출됨.
    • CVE-2020-8565: Kubernetes의 CVE-2019-11250에 대한 불완전한 수정으로, logLevel이 9 이상이면 토큰이 유출될 수 있음. GKE 보안으로 발견됨.
    • CVE-2020-8566: loglevel이 4 이상이면 로그의 Ceph RBD adminSecret가 노출됨.

    GKE는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    GKE의 기본 세부정보 수준 로깅 레벨로 인해 추가 작업이 필요하지 않습니다.

    없음

    GKE 클러스터 사용

    업데이트: 2020년 10월 10일

    설명 심각도

    Kubernetes 프로젝트는 최근에 상세 로깅 옵션이 사용 설정되면 보안 비밀 데이터가 노출될 수 있는 여러 문제를 발견했습니다. 문제는 다음과 같습니다.

    • CVE-2020-8563: vSphere Provider kube-controller-manager의 로그 보안 비밀 유출.
    • CVE-2020-8564: 파일 형식이 잘못되었으며 loglevel 값이 4 이상인 경우 Docker 구성 보안 비밀이 유출됨.
    • CVE-2020-8565: Kubernetes의 CVE-2019-11250에 대한 불완전한 수정으로, logLevel이 9 이상이면 토큰이 유출될 수 있음. GKE 보안으로 발견됨.
    • CVE-2020-8566: loglevel이 4 이상이면 로그의 Ceph RBD adminSecret가 노출됨.

    VMware용 GKE는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    GKE의 기본 세부정보 수준 로깅 레벨로 인해 추가 작업이 필요하지 않습니다.

    없음

    GKE 클러스터 사용

    업데이트: 2020년 10월 20일

    설명 심각도

    Kubernetes 프로젝트는 최근에 상세 로깅 옵션이 사용 설정되면 보안 비밀 데이터가 노출될 수 있는 여러 문제를 발견했습니다. 문제는 다음과 같습니다.

    • CVE-2020-8563: vSphere Provider kube-controller-manager의 로그 보안 비밀 유출.
    • CVE-2020-8564: 파일 형식이 잘못되었으며 loglevel 값이 4 이상인 경우 Docker 구성 보안 비밀이 유출됨.
    • CVE-2020-8565: Kubernetes의 CVE-2019-11250에 대한 불완전한 수정으로, logLevel이 9 이상이면 토큰이 유출될 수 있음. GKE 보안으로 발견됨.
    • CVE-2020-8566: loglevel이 4 이상이면 로그의 Ceph RBD adminSecret가 노출됨.

    AWS 기반 GKE는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    GKE의 기본 세부정보 수준 로깅 레벨로 인해 추가 작업이 필요하지 않습니다.

    없음

    GCP-2020-012

    게시: 2020년 9월 14일
    참조: CVE-2020-14386

    GKE

    설명 심각도

    CVE-2020-14386의 설명대로 최근에 Linux 커널에서 컨테이너 이스케이프가 호스트 노드의 루트 권한을 얻을 수 있는 취약점이 발견되었습니다.

    모든 GKE 노드가 영향을 받습니다. GKE Sandbox에서 실행되는 포드는 이 취약점을 활용할 수 없습니다.

    어떻게 해야 하나요?

    이 취약점을 해결하려면 제어 영역을 업그레이드한 후 노드를 다음 패치 버전 중 하나로 업그레이드합니다.

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    이 취약점을 악용하려면 CAP_NET_RAW가 필요하지만 일반적으로 CAP_NET_RAW가 필요한 컨테이너는 거의 없습니다. PodSecurityPolicy 또는 정책 컨트롤러를 통해 기본적으로 이 기능과 기타 강력한 기능을 차단해야 합니다.

    다음 메서드 중 하나를 사용하여 컨테이너에서 CAP_NET_RAW 기능을 삭제합니다.

    • PodSecurityPolicy를 사용하여 이러한 기능을 차단합니다. 예를 들면 다음과 같습니다.
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • 또는 이 제약조건 템플릿과 함께 정책 컨트롤러 또는 Gatekeeper를 사용하여 적용하는 방법도 있습니다. 예를 들면 다음과 같습니다.
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • 또는 포드 사양을 업데이트합니다.
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    이 패치로 어떤 취약점이 해결되나요?

    이 패치로 다음의 취약점이 완화됩니다.

    CAP_NET_RAW가 있는 컨테이너가 커널 메모리 1~10바이트를 쓸 수 있으며 컨테이너를 에스케이프하고 호스트 노드에서 루트 권한을 얻을 수 있는 취약점 CVE-2020-14386. 이 취약점은 심각도가 높은 취약점으로 분류됩니다.

    높음

    GKE 클러스터 사용

    업데이트: 2020년 9월 17일

    설명 심각도

    CVE-2020-14386의 설명대로 최근에 Linux 커널에서 컨테이너 이스케이프가 호스트 노드의 루트 권한을 얻을 수 있는 취약점이 발견되었습니다.

    모든 VMware 용 GKE 노드가 영향을 받습니다.

    어떻게 해야 하나요?

    이 취약점을 해결하려면 클러스터를 패치 버전으로 업그레이드합니다. 출시 예정인 다음 {gke_on_prem_name}} 버전에는 이 취약점의 수정 사항이 포함되며 수정 버전을 사용할 수 있게 되면 이 게시판이 업데이트됩니다.

    • VMware 용 GKE 1.4.3이 제공됩니다.
    • VMware 용 GKE 1.3.4가 제공됩니다.

    이 취약점을 악용하려면 CAP_NET_RAW가 필요하지만 일반적으로 CAP_NET_RAW가 필요한 컨테이너는 거의 없습니다. PodSecurityPolicy 또는 정책 컨트롤러를 통해 기본적으로 이 기능과 기타 강력한 기능을 차단해야 합니다.

    다음 메서드 중 하나를 사용하여 컨테이너에서 CAP_NET_RAW 기능을 삭제합니다.

    • PodSecurityPolicy를 사용하여 이러한 기능을 차단합니다. 예를 들면 다음과 같습니다.
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • 또는 이 제약조건 템플릿과 함께 정책 컨트롤러 또는 Gatekeeper를 사용하여 적용하는 방법도 있습니다. 예를 들면 다음과 같습니다.
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • 또는 포드 사양을 업데이트합니다.
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    이 패치로 어떤 취약점이 해결되나요?

    이 패치로 다음의 취약점이 완화됩니다.

    CAP_NET_RAW가 있는 컨테이너가 커널 메모리 1~10바이트를 쓸 수 있으며 컨테이너를 에스케이프하고 호스트 노드에서 루트 권한을 얻을 수 있는 취약점 CVE-2020-14386. 이 취약점은 심각도가 높은 취약점으로 분류됩니다.

    높음

    GKE 클러스터 사용

    업데이트: 2020년 10월 13일

    설명 심각도

    CVE-2020-14386의 설명대로 최근에 Linux 커널에서 컨테이너 이스케이프가 호스트 노드의 루트 권한을 얻을 수 있는 취약점이 발견되었습니다.

    모든 GKE on AWS 노드가 영향을 받습니다.

    어떻게 해야 하나요?

    이 취약점을 해결하려면 관리 서비스사용자 클러스터를 패치 버전으로 업그레이드합니다. 다음 AWS 기반 GKE 이상 버전에는 이 취약점의 수정 사항이 포함되며, 수정 버전을 사용할 수 있게 되면 이 게시판이 업데이트됩니다.

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    다음 메서드 중 하나를 사용하여 컨테이너에서 CAP_NET_RAW 기능을 삭제합니다.

    • PodSecurityPolicy를 사용하여 이러한 기능을 차단합니다. 예를 들면 다음과 같습니다.
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • 또는 이 제약조건 템플릿과 함께 정책 컨트롤러 또는 Gatekeeper를 사용하여 적용하는 방법도 있습니다. 예를 들면 다음과 같습니다.
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • 또는 포드 사양을 업데이트합니다.
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    이 패치로 어떤 취약점이 해결되나요?

    이 패치로 다음의 취약점이 완화됩니다.

    CAP_NET_RAW가 있는 컨테이너가 커널 메모리 1~10바이트를 쓸 수 있으며 컨테이너를 에스케이프하고 호스트 노드에서 루트 권한을 얻을 수 있는 취약점 CVE-2020-14386. 이 취약점은 심각도가 높은 취약점으로 분류됩니다.

    높음

    GCP-2020-011

    게시: 2020년 7월 24일
    참조: CVE-2020-8558

    GKE

    설명 심각도

    네트워킹 취약점인 CVE-2020-8558이 최근 Kubernetes에서 발견되었습니다. 경우에 따라 서비스는 로컬 루프백 인터페이스(127.0.0.1)를 사용하여 동일한 포드에서 실행되는 다른 애플리케이션과 통신합니다. 이 취약점으로 인해 클러스터의 네트워크에 대한 액세스 권한이 있는 공격자가 인접 포드 및 노드의 루프백 인터페이스로 트래픽을 전송할 수 있습니다. 포드 외부에서 액세스할 수 없는 루프백 인터페이스를 사용하는 서비스는 악용될 수 있습니다.

    GKE 클러스터에서 이 취약점을 악용하려면 공격자에게 클러스터의 VPC를 호스팅하는 Google Cloud에서 네트워크 관리자 권한이 있어야 합니다. 이 취약점만으로는 공격자에게 네트워크 관리자 권한이 부여되지 않습니다. 이러한 이유로 이 취약점은 GKE에서 심각도 낮음으로 지정되었습니다.

    어떻게 해야 하나요?

    이 취약점을 해결하려면 클러스터의 노드 풀을 다음 GKE 버전(및 이상)으로 업그레이드하세요.

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    이 패치로 어떤 취약점이 해결되나요?

    이 패치는 CVE-2020-8558 취약점을 해결합니다.

    낮음

    GKE 클러스터 사용

    설명 심각도

    네트워킹 취약점인 CVE-2020-8558이 최근 Kubernetes에서 발견되었습니다. 경우에 따라 서비스는 로컬 루프백 인터페이스(127.0.0.1)를 사용하여 동일한 포드에서 실행되는 다른 애플리케이션과 통신합니다. 이 취약점으로 인해 클러스터의 네트워크에 대한 액세스 권한이 있는 공격자가 인접 포드 및 노드의 루프백 인터페이스로 트래픽을 전송할 수 있습니다. 포드 외부에서 액세스할 수 없는 루프백 인터페이스를 사용하는 서비스는 악용될 수 있습니다.

    어떻게 해야 하나요?

    이 취약점을 해결하려면 클러스터를 패치 버전으로 업그레이드하세요. 다음 VMware용 GKE 이상 버전에는 이 취약점의 수정 사항이 포함됩니다.

    • VMware용 GKE 1.4.1

    이 패치로 어떤 취약점이 해결되나요?

    이 패치는 CVE-2020-8558 취약점을 해결합니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    네트워킹 취약점인 CVE-2020-8558이 최근 Kubernetes에서 발견되었습니다. 경우에 따라 서비스는 로컬 루프백 인터페이스(127.0.0.1)를 사용하여 동일한 포드에서 실행되는 다른 애플리케이션과 통신합니다. 이 취약점으로 인해 클러스터의 네트워크에 대한 액세스 권한이 있는 공격자가 인접 포드 및 노드의 루프백 인터페이스로 트래픽을 전송할 수 있습니다. 포드 외부에서 액세스할 수 없는 루프백 인터페이스를 사용하는 서비스는 악용될 수 있습니다.

    사용자 클러스터에서 이 취약점을 악용하려면 공격자가 클러스터의 EC2 인스턴스에서 소스 대상 검사를 중지해야 합니다. 이 경우 공격자에게 EC2 인스턴스의 ModifyInstanceAttribute 또는 ModifyNetworkInterfaceAttribute에 대한 AWS IAM 권한이 있어야 합니다. 따라서 이 취약점은 AWS 기반 GKE에서 심각도 낮음으로 지정되었습니다.

    어떻게 해야 하나요?

    이 취약점을 해결하려면 클러스터를 패치 버전으로 업그레이드하세요. 다음 GKE on AWS 이상 버전에는 이 취약점의 수정 사항이 포함될 예정입니다.

    • GKE on AWS 1.4.1-gke.17

    이 패치로 어떤 취약점이 해결되나요?

    이 패치는 CVE-2020-8558 취약점을 해결합니다.

    낮음

    GCP-2020-009

    게시: 2020년 7월 15일
    참조: CVE-2020-8559

    GKE

    설명 심각도

    권한 에스컬레이션 취약점인 CVE-2020-8559가 최근 Kubernetes에서 발견되었습니다. 이 취약점으로 인해 노드를 이미 손상시킨 공격자가 클러스터의 모든 포드에서 명령어를 실행할 수 있습니다. 따라서 공격자는 이미 손상된 노드를 사용하여 다른 노드를 손상시킬 수 있으며 정보를 읽거나 파괴적인 작업을 유발할 수 있습니다.

    공격자가 이 취약점을 악용하려는 경우 클러스터의 노드는 이미 손상되었을 것입니다. 이 취약점 자체는 클러스터에 있는 노드를 손상시키지 않습니다.

    어떻게 해야 하나요?

    클러스터를 패치 버전으로 업그레이드합니다. 클러스터는 다음 주에 자동 업그레이드되며 패치 버전은 2020년 7월 19일까지 빠른 수동 업그레이드 일정에 따라 제공될 예정입니다. 이 취약점의 수정사항이 포함된 GKE 제어 영역 버전은 다음과 같습니다.

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    이 패치로 어떤 취약점이 해결되나요?

    이러한 패치는 CVE-2020-8559 취약점을 완화합니다. 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다. 공격자가 클러스터, 노드, 워크로드에 대한 정보를 직접 제공하여 기존의 손상된 노드 외에 이 공격을 효과적으로 이용해야 하기 때문입니다. 이 취약점 자체는 공격자에게 손상된 노드를 제공하지 않습니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    권한 에스컬레이션 취약점인 CVE-2020-8559가 최근 Kubernetes에서 발견되었습니다. 이 취약점으로 인해 노드를 이미 손상시킨 공격자가 클러스터의 모든 포드에서 명령어를 실행할 수 있습니다. 따라서 공격자는 이미 손상된 노드를 사용하여 다른 노드를 손상시킬 수 있으며 정보를 읽거나 파괴적인 작업을 유발할 수 있습니다.

    공격자가 이 취약점을 악용하려는 경우 클러스터의 노드는 이미 손상되었을 것입니다. 이 취약점 자체는 클러스터에 있는 노드를 손상시키지 않습니다.

    어떻게 해야 하나요?

    클러스터를 패치 버전으로 업그레이드합니다. 다음 VMware용 GKE 이상 버전에는 이 취약점의 수정 사항이 포함됩니다.

    • Anthos 1.3.3
    • Anthos 1.4.1

    이 패치로 어떤 취약점이 해결되나요?

    이러한 패치는 CVE-2020-8559 취약점을 완화합니다. 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다. 공격자가 클러스터, 노드, 워크로드에 대한 정보를 직접 제공하여 기존의 손상된 노드 외에 이 공격을 효과적으로 이용해야 하기 때문입니다. 이 취약점 자체는 공격자에게 손상된 노드를 제공하지 않습니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    권한 에스컬레이션 취약점인 CVE-2020-8559가 최근 Kubernetes에서 발견되었습니다. 이 취약점으로 인해 노드를 이미 손상시킨 공격자가 클러스터의 모든 포드에서 명령어를 실행할 수 있습니다. 따라서 공격자는 이미 손상된 노드를 사용하여 다른 노드를 손상시킬 수 있으며 정보를 읽거나 파괴적인 작업을 유발할 수 있습니다.

    공격자가 이 취약점을 악용하려는 경우 클러스터의 노드는 이미 손상되었을 것입니다. 이 취약점 자체는 클러스터에 있는 노드를 손상시키지 않습니다.

    어떻게 해야 하나요?

    GKE on AWS GA(1.4.1, 2020년 7월 말 제공) 이상 버전에는 이 취약점의 패치가 포함됩니다. 이전 버전을 사용하는 경우 anthos-gke 명령줄 도구의 새 버전을 다운로드하고 관리 및 사용자 클러스터를 다시 만듭니다.

    이 패치로 어떤 취약점이 해결되나요?

    이러한 패치는 CVE-2020-8559 취약점을 완화합니다. 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다. 공격자가 클러스터, 노드, 워크로드에 대한 정보를 직접 제공하여 기존의 손상된 노드 외에 이 공격을 효과적으로 이용해야 하기 때문입니다. 이 취약점 자체는 공격자에게 손상된 노드를 제공하지 않습니다.

    중간 규모

    GCP-2020-007

    게시: 2020년 6월 1일
    참조: CVE-2020-8555

    GKE

    설명 심각도

    서버 측 요청 위조(SSRF) 취약점(CVE-2020-8555)이 최근 Kubernetes에서 감지되었습니다. 승인된 특정 사용자가 제어 영역 호스트 네트워크의 민감한 정보를 500바이트까지 유출할 수 있는 취약점 입니다. Google Kubernetes Engine(GKE) 제어 영역은 Kubernetes의 컨트롤러를 사용하므로 이 취약점의 영향을 받습니다. 아래의 세부정보를 참고하여 제어 영역을 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 노드 업그레이드는 필요하지 않습니다.

    어떻게 해야 하나요?

    대부분 고객의 경우 추가 조치는 필요하지 않습니다. 대다수의 클러스터가 이미 패치 버전을 실행하고 있습니다. 이 취약점의 수정사항이 포함된 GKE 버전은 다음과 같습니다.
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    출시 채널을 사용하는 클러스터는 이미 완화책이 적용된 제어 영역 버전으로 업그레이드되었습니다.

    이 패치로 어떤 취약점이 해결되나요?

    이러한 패치는 CVE-2020-8555 취약점을 완화합니다. 악용을 방지하기 위한 여러 제어 영역 강화 조치로 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다.

    특정 볼륨 유형(GlusterFS, Quobyte, StorageFS, ScaleIO)이 내장된 포드 생성 또는 StorageClass 생성 권한을 보유한 공격자는 마스터의 호스트 네트워크에서 요청 본문을 제어하지 않아도 kube-controller-manager에서 GET 요청 또는 POST 요청을 보내도록 만들 수 있습니다. 이러한 볼륨은 GKE에서 거의 사용되지 않으므로 이러한 볼륨이 새로 사용된 것은 유용한 감지 신호일 수 있습니다.

    로그처럼 GET/POST의 결과를 공격자에게 반환하는 수단과 결합되면 민감한 정보 공개로 이어질 수 있습니다. 문제가 되는 스토리지 드라이버를 업데이트하여 이러한 유출 가능성을 제거했습니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    서버 측 요청 위조(SSRF) 취약점(CVE-2020-8555)이 최근 Kubernetes에서 감지되었습니다. 승인된 특정 사용자가 제어 영역 호스트 네트워크의 민감한 정보를 500바이트까지 유출할 수 있는 취약점 입니다. Google Kubernetes Engine(GKE) 제어 영역은 Kubernetes의 컨트롤러를 사용하므로 이 취약점의 영향을 받습니다. 다음 세부정보를 참조하여 제어 영역을 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 노드 업그레이드는 필요하지 않습니다.

    어떻게 해야 하나요?

    다음 VMware용 GKE 이상 버전에는 이 취약점의 수정 사항이 포함됩니다.

    • Anthos 1.3.0

    이전 버전을 사용하는 경우 수정사항이 포함된 버전으로 기존 클러스터를 업그레이드합니다.

    이 패치로 어떤 취약점이 해결되나요?

    이러한 패치는 CVE-2020-8555 취약점을 완화합니다. 악용을 방지하기 위한 여러 제어 영역 강화 조치로 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다.

    특정 볼륨 유형(GlusterFS, Quobyte, StorageFS, ScaleIO)이 내장된 포드 생성 또는 StorageClass 생성 권한을 보유한 공격자는 마스터의 호스트 네트워크에서 요청 본문을 제어하지 않아도 kube-controller-manager에서 GET 요청 또는 POST 요청을 보내도록 만들 수 있습니다. 이러한 볼륨은 GKE에서 거의 사용되지 않으므로 이러한 볼륨이 새로 사용된 것은 유용한 감지 신호일 수 있습니다.

    로그처럼 GET/POST의 결과를 공격자에게 반환하는 수단과 결합되면 민감한 정보 공개로 이어질 수 있습니다. 문제가 되는 스토리지 드라이버를 업데이트하여 이러한 유출 가능성을 제거했습니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    서버 측 요청 위조(SSRF) 취약점(CVE-2020-8555)이 최근 Kubernetes에서 감지되었습니다. 승인된 특정 사용자가 제어 영역 호스트 네트워크의 민감한 정보를 500바이트까지 유출할 수 있는 취약점 입니다. Google Kubernetes Engine(GKE) 제어 영역은 Kubernetes의 컨트롤러를 사용하므로 이 취약점의 영향을 받습니다. 다음 세부정보를 참조하여 제어 영역을 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 노드 업그레이드는 필요하지 않습니다.

    어떻게 해야 하나요?

    GKE on AWS v0.2.0 이상 버전에는 이 취약점의 패치가 포함되어 있습니다. 이전 버전을 사용하는 경우 anthos-gke 명령줄 도구의 새 버전을 다운로드하고 관리 및 사용자 클러스터를 다시 만듭니다.

    이 패치로 어떤 취약점이 해결되나요?

    이러한 패치는 CVE-2020-8555 취약점을 완화합니다. 악용을 방지하기 위한 여러 제어 영역 강화 조치로 이 문제는 GKE에서 '보통' 등급의 취약점으로 분류됩니다.

    특정 볼륨 유형(GlusterFS, Quobyte, StorageFS, ScaleIO)이 내장된 포드 생성 또는 StorageClass 생성 권한을 보유한 공격자는 마스터의 호스트 네트워크에서 요청 본문을 제어하지 않아도 kube-controller-manager에서 GET 요청 또는 POST 요청을 보내도록 만들 수 있습니다. 이러한 볼륨은 GKE에서 거의 사용되지 않으므로 이러한 볼륨이 새로 사용된 것은 유용한 감지 신호일 수 있습니다.

    로그처럼 GET/POST의 결과를 공격자에게 반환하는 수단과 결합되면 민감한 정보 공개로 이어질 수 있습니다. 문제가 되는 스토리지 드라이버를 업데이트하여 이러한 유출 가능성을 제거했습니다.

    중간 규모

    GCP-2020-006

    게시: 2020년 6월 1일
    참조: Kubernetes 문제 91507

    GKE

    설명 심각도

    Kubernetes에서는 권한이 있는 컨테이너가 노드 트래픽을 다른 컨테이너로 리디렉션하도록 허용하는 취약점을 공개했습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다. 이 취약점은 모든 Google Kubernetes Engine(GKE) 노드에 영향을 미치므로 다음 세부정보를 참조하여 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

    어떻게 해야 하나요?

    이 취약점을 완화하려면 제어 영역을 업그레이드한 후 노드를 아래에 나온 패치 버전 중 하나로 업그레이드하세요. 출시 채널의 클러스터는 이미 제어 영역과 노드에서 이러한 패치 버전을 실행하고 있습니다.
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    일반적으로 CAP_NET_RAW가 필요한 컨테이너는 거의 없습니다. PodSecurityPolicy 또는 Anthos Policy Controller를 통해 이 기능과 기타 강력한 기능을 기본적으로 차단해야 합니다.

    다음 메서드 중 하나를 사용하여 컨테이너에서 CAP_NET_RAW 기능을 삭제합니다.

    • PodSecurityPolicy를 사용하여 이러한 기능을 차단합니다. 예를 들면 다음과 같습니다.
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • 또는 이 제약조건 템플릿과 함께 정책 컨트롤러 또는 Gatekeeper를 사용하여 적용하는 방법도 있습니다. 예를 들면 다음과 같습니다.
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • 또는 포드 사양을 업데이트합니다.
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    이 패치로 어떤 취약점이 해결되나요?

    이 패치로 다음의 취약점이 완화됩니다.

    Kubernetes 문제 91507에는 노드에서 악성 IPv6 스택을 구성하고 노드 트래픽을 공격자가 제어하는 컨테이너로 리디렉션할 수 있는 CAP_NET_RAW 기능(기본 컨테이너 기능 모음에 포함되어 있음)의 취약점이 설명되어 있습니다. 공격자는 이 취약점을 이용해 노드에서 송/수신되는 트래픽을 가로채거나 수정할 수 있습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    Kubernetes에서는 권한이 있는 컨테이너가 노드 트래픽을 다른 컨테이너로 리디렉션하도록 허용하는 취약점을 공개했습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다. 이 취약점은 모든 Google Kubernetes Engine(GKE) 노드에 영향을 미치므로 다음 세부정보를 참조하여 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

    어떻게 해야 하나요?

    VMware용 GKE의 이 취약점을 완화하려면 다음 이상 버전으로 클러스터를 업그레이드합니다.
    • Anthos 1.3.2

    일반적으로 CAP_NET_RAW가 필요한 컨테이너는 거의 없습니다. 이 기능 및 기타 강력한 기능은 Anthos 정책 컨트롤러를 통해 기본적으로 또는 포드 사양을 업데이트하여 차단되어야 합니다.

    다음 메서드 중 하나를 사용하여 컨테이너에서 CAP_NET_RAW 기능을 삭제합니다.

    • PodSecurityPolicy를 사용하여 이러한 기능을 차단합니다. 예를 들면 다음과 같습니다.
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • 또는 이 제약조건 템플릿과 함께 정책 컨트롤러 또는 Gatekeeper를 사용하여 적용하는 방법도 있습니다. 예를 들면 다음과 같습니다.
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • 또는 포드 사양을 업데이트합니다.
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    이 패치로 어떤 취약점이 해결되나요?

    이 패치로 다음의 취약점이 완화됩니다.

    Kubernetes 문제 91507에는 노드에서 악성 IPv6 스택을 구성하고 노드 트래픽을 공격자가 제어하는 컨테이너로 리디렉션할 수 있는 CAP_NET_RAW 기능(기본 컨테이너 기능 모음에 포함되어 있음)의 취약점이 설명되어 있습니다. 공격자는 이 취약점을 이용해 노드에서 송/수신되는 트래픽을 가로채거나 수정할 수 있습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다.

    중간 규모

    GKE 클러스터 사용

    설명 심각도

    Kubernetes에서는 권한이 있는 컨테이너가 노드 트래픽을 다른 컨테이너로 리디렉션하도록 허용하는 취약점을 공개했습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다. 이 취약점은 모든 Google Kubernetes Engine(GKE) 노드에 영향을 미치므로 다음 세부정보를 참조하여 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

    어떻게 해야 하나요?

    다음 최신 버전의 anthos-gke 명령줄 도구를 다운로드하고 관리 및 사용자 클러스터를 다시 만듭니다.

    • aws-0.2.1-gke.7

    일반적으로 CAP_NET_RAW가 필요한 컨테이너는 거의 없습니다. Anthos 정책 컨트롤러를 통해 또는 포드 사양을 업데이트하여 기본적으로 이 기능 및 기타 강력한 기능을 차단해야 합니다.

    다음 메서드 중 하나를 사용하여 컨테이너에서 CAP_NET_RAW 기능을 삭제합니다.

    • PodSecurityPolicy를 사용하여 이러한 기능을 차단합니다. 예를 들면 다음과 같습니다.
      
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • 또는 이 제약조건 템플릿과 함께 정책 컨트롤러 또는 Gatekeeper를 사용하여 적용하는 방법도 있습니다. 예를 들면 다음과 같습니다.
      
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • 또는 포드 사양을 업데이트합니다.
      
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    이 패치로 어떤 취약점이 해결되나요?

    이 패치로 다음의 취약점이 완화됩니다.

    Kubernetes 문제 91507에는 노드에서 악성 IPv6 스택을 구성하고 노드 트래픽을 공격자가 제어하는 컨테이너로 리디렉션할 수 있는 CAP_NET_RAW 기능(기본 컨테이너 기능 모음에 포함되어 있음)의 취약점이 설명되어 있습니다. 공격자는 이 취약점을 이용해 노드에서 송/수신되는 트래픽을 가로채거나 수정할 수 있습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다.

    중간 규모

    GCP-2020-005

    게시: 2020년 5월 7일
    업데이트: 2020년 5월 7일
    참조: CVE-2020-8835

    GKE

    설명 심각도

    CVE-2020-8835에 설명된 바와 같이 최근 Linux 커널에서 취약점이 발견되었으며, 이 취약점은 컨테이너 이스케이프가 호스트 노드의 루트 권한을 확보할 수 있다는 문제를 안고 있습니다.

    GKE 1.16 또는 1.17을 실행하는 Google Kubernetes Engine(GKE) Ubuntu 노드가 이 취약점의 영향을 받으며, 아래의 세부정보에 따라 최대한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

    Container-Optimized OS를 실행하는 노드는 영향을 받지 않습니다. VMware용 GKE를 실행하는 노드는 영향을 받지 않습니다.

    어떻게 해야 하나요?

    대부분 고객의 경우 추가 조치는 필요하지 않습니다. GKE 버전 1.16 또는 1.17의 Ubuntu를 실행하는 노드만 영향을 받습니다.

    노드를 업그레이드하려면 먼저 마스터를 최신 버전으로 업그레이드해야 합니다. 이 패치는 Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 및 그 이상의 출시 버전에서 제공됩니다. 출시 노트에서 이 패치의 가용성을 추적할 수 있습니다.

    이 패치로 어떤 취약점이 해결되나요?

    이 패치로 다음의 취약점이 완화됩니다.

    CVE-2020-8835는 악성 컨테이너가 실행 형태인 사용자 상호작용이 최소화된 상태로 커널 메모리를 읽고 쓸 수 있게 하여 호스트 노드에서 루트 수준의 코드 실행을 획득할 수 있는 Linux 커널 버전 5.5.0 이상의 취약점을 설명합니다. 이 문제는 '높음' 등급의 취약점으로 분류됩니다.

    높음

    GCP-2020-004

    게시: 2020년 5월 7일
    업데이트: 2020년 5월 7일
    참조: CVE-2019-11254

    GKE 클러스터 사용

    설명 심각도

    CVE-2019-11254에 설명된 바와 같이 최근 Kubernetes에서 취약점이 발견되었으며, 이 취약점에는 POST 요청 권한이 있는 모든 사용자가 Kubernetes API 서버에서 원격으로 서비스 거부 공격을 실행할 수 있다는 문제가 있습니다. Kubernetes Product Security Committee(PSC)에서 공개한 이 취약점에 관한 추가 정보는 여기에서 확인할 수 있습니다.

    Kubernetes API 서버에 대한 네트워크 액세스 권한을 갖는 클라이언트를 제한하는 방식으로 이 취약점을 완화할 수 있습니다.

    어떻게 해야 하나요?

    이 취약점에 대한 수정사항이 포함된 패치 버전으로 업그레이드하는 것이 좋습니다.

    수정사항이 포함된 패치 버전은 아래와 같습니다.

    • Kubernetes 버전 1.15.7-gke.32를 실행하는 Anthos 1.3.0

    이 패치로 어떤 취약점이 해결되나요?

    이 패치는 다음 서비스 거부(DoS) 취약점을 해결합니다.

    CVE-2019-11254

    중간 규모

    GCP-2020-003

    게시: 2020년 3월 31일
    업데이트: 2020년 3월 31일
    참조: CVE-2019-11254

    GKE

    설명 심각도

    CVE-2019-11254에 설명된 바와 같이 최근 Kubernetes에서 취약점이 발견되었으며, 이 취약점에는 POST 요청 권한이 있는 모든 사용자가 Kubernetes API 서버에서 원격으로 서비스 거부 공격을 실행할 수 있다는 문제가 있습니다. Kubernetes Product Security Committee(PSC)에서 공개한 이 취약점에 관한 추가 정보는 여기에서 확인할 수 있습니다.

    마스터 승인 네트워크공개 엔드포인트가 없는 비공개 클러스터를 사용하는 GKE 클러스터는 이 취약점을 완화합니다.

    어떻게 해야 하나요?

    이 취약점의 수정사항이 포함된 패치 버전으로 클러스터를 업그레이드하는 것이 좋습니다.

    수정사항이 포함된 패치 버전은 아래와 같습니다.

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    이 패치로 어떤 취약점이 해결되나요?

    이 패치는 다음 서비스 거부(DoS) 취약점을 해결합니다.

    CVE-2019-11254

    중간 규모

    GCP-2020-002

    게시: 2020년 3월 23일
    업데이트: 2020년 3월 23일
    참조: CVE-2020-8551, CVE-2020-8552

    GKE

    설명 심각도

    Kubernetes는 각각 API 서버와 Kubelet에 영향을 미치는 2개의 서비스 거부 취약점을 공개했습니다. 자세한 내용은 Kubernetes 문제: 8937789378을 참조하세요.

    어떻게 해야 하나요?

    신뢰할 수 없는 사용자가 클러스터의 내부 네트워크에서 요청을 전송할 수 있는 경우만 아니라면 모든 GKE 사용자가 CVE-2020-8551로부터 보호됩니다. 마스터 승인 네트워크를 사용해도 CVE-2020-8552가 완화됩니다.

    이 패치는 언제 적용되나요?

    CVE-2020-8551 패치는 노드 업그레이드가 필요합니다. 취약점 완화 방법이 포함된 패치 버전은 아래와 같습니다.

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    CVE-2020-8552 패치는 마스터 업그레이드가 필요합니다. 취약점 완화 방법이 포함된 패치 버전은 아래와 같습니다.

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    중간 규모

    GCP-january_21_2020

    게시: 2020년 1월 21일
    업데이트: 2020년 1월 24일
    참조: CVE-2019-11254

    GKE

    설명 심각도

    2020년 1월 24일 업데이트: 이미 패치 버전을 출시하기 위한 과정이 진행 중이며 2020년 1월 25일까지 완료될 예정입니다.


    Microsoft에서 Windows Crypto API 및 타원 곡선 서명 검사의 취약점을 공개했습니다. 자세한 내용은 Microsoft 공개 정보를 참조하세요.

    어떻게 해야 하나요?

    대부분 고객의 경우 추가 조치는 필요하지 않습니다. Windows Server를 실행 중인 노드만 영향을 받습니다.

    Windows Server 노드를 사용하고 있는 고객의 경우 노드와 해당 노드에서 실행되는 컨테이너화된 워크로드를 모두 패치 버전으로 업데이트해야 이 취약점을 완화할 수 있습니다.

    컨테이너 업데이트 방법:

    Microsoft의 최신 기본 컨테이너 이미지를 사용하고 최종 업데이트 시간이 2020년 1월 14일 이후인 servercore 또는 nanoserver 태그를 선택하여 컨테이너를 다시 빌드하세요.

    노드 업데이트 방법:

    이미 패치 버전을 출시하기 위한 과정이 진행 중이며 2020년 1월 24일까지 완료될 예정입니다.

    그때까지 기다렸다가 패치된 GKE 버전으로 노드 업그레이드를 수행하거나 Windows Update를 사용하여 언제든지 최신 Windows 패치를 수동으로 배포할 수도 있습니다.

    취약점 완화 방법이 포함된 패치 버전은 아래와 같습니다.

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    이 패치로 어떤 취약점이 해결되나요?

    이 패치로 다음의 취약점이 완화됩니다.

    CVE-2020-0601 - 이 취약점은 Windows Crypto API 스푸핑 취약점이라고도 하며, 악성 실행 파일을 신뢰할 수 있는 파일인 것처럼 보이게 하거나 공격자가 중간자 공격을 수행하고 TLS 연결의 기밀 정보를 영향을 받는 소프트웨어에 복호화하는 데 악용될 수 있습니다.

    NVD 기본 점수: 8.1(높음)

    보관처리된 보안 게시판

    2020년 이전의 보안 게시판은 보안 게시판 자료실을 참고하세요.