Sicherheitsbulletins

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.2081000
• 1.28.15-gke.1480000
• 1.29.12-gke.1055000
• 1.30.8-gke.1051000
• 1.31.4-gke.1072000
• 1.32.0-gke.1448000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.1836000
• 1.28.15-gke.1342000
• 1.29.11-gke.1012000
• 1.30.7-gke.1077000
• 1.31.3-gke.1056000
• 1.32.0-gke.1448000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Update vom 08.01.2025:Das tatsächliche Startdatum und die tatsächliche Startzeit des Problems waren der 04.12.2024 um 22:47 Uhr (UTC).

Am 08.12.2024 um 13:44 Uhr (UTC) trat ein Sicherheitsproblem auf, das am 04.01.2025 um 04:00 Uhr (UTC) behoben wurde. Dieses Sicherheitsproblem wirkte sich auf Ressourcen in VPCs aus, in denen ein GKE Multi-Cluster-Gateway (MCG) konfiguriert war. MCG ist eine optionale Funktion, die von einer kleinen Gruppe von GKE-Kunden verwendet wird. Wir benachrichtigen Kunden, die die Funktion in diesem Zeitraum aktiviert hatten, einzeln.

Multi-Cluster-Gateway (MCG) ist eine GKE-Funktion, mit der Kunden Traffic auf mehrere Cluster verteilen können. Um diese Funktion auszuführen, muss MCG Änderungen an der Google Cloud -Firewall auf Projektebene vornehmen. Ein Fehler in MCG führte zum Erstellen einer Firewallregel für eingehenden Traffic, die TCP-Traffic zu allen IP-Adressen (0.0.0.0/0) und Ports innerhalb des VPC zulässt. Es wurden Maßnahmen ergriffen, um solche Fehler in Zukunft zu vermeiden.

Da die Firewall eine Zulassungsliste auf VPC-Ebene ist, waren die folgenden Arten von Ressourcen möglicherweise während des Zeitraums über das Netzwerk erreichbar:

• Kundenanwendungen, die auf GKE-Arbeitsknoten ausgeführt werden und über öffentliche IP-Adressen zugänglich sind.
• Kundenanwendungen, die auf Compute Engine-VMs mit öffentlichen IP-Adressen ausgeführt werden
• Alle anderen Google Cloud -Ressourcen im selben VPC wie der Cluster mit öffentlichen IP-Adressen und Listenern.

GKE-Arbeitsknoten, Compute Engine-VMs und andere Ressourcen, die nur private IP-Adressen verwenden, waren möglicherweise innerhalb ihres VPC allgemein zugänglich, aber nicht über das Internet. Bei Anwendungen, die durch die folgenden Mechanismen geschützt sind, wäre das Risiko reduziert oder beseitigt worden:

• DENY-Firewallregeln mit gleicher oder höherer Priorität (MCG legt die Priorität von Firewallregeln standardmäßig auf 1.000 fest)
• Service Mesh mit identitätsbasierter Autorisierung
• Autorisierung auf Anwendungsebene

Betroffene Ressourcen

Betroffen waren Ressourcen in VPCs, in denen GKE MCG konfiguriert und auf öffentliche IP-Adressen lauschte. Zu den betroffenen Ressourcen gehören unter anderem Anwendungen, die auf GKE-Arbeitsknoten ausgeführt werden.

Wie gehe ich am besten vor?

Das Problem wurde für alle betroffenen VPCs behoben, indem die fehlerhafte Firewallkonfiguration korrigiert wurde. Die fälschlicherweise erstellten Regeln wurden automatisch mit den entsprechenden Quellbereichen (130.211.0.0/22, 35.191.0.0/16) geändert, um den eingehenden Traffic von der Google Cloud -Systemdiagnoseinfrastruktur und optional von Ihren Nur-Proxy-Subnetzbereichen für interne Gateways zuzulassen. Weitere Informationen zu den von MCG automatisch in Ihren Projekten erstellten Firewallregeln finden Sie unter GKE-Gateway-Firewallregeln.

Sie können die Behebung optional bestätigen, indem Sie die verwalteten Firewallregeln in VPCs mit GKE MCG prüfen. Prüfen Sie, ob für verwaltete Firewallregeln mit dem Präfix gkemcg1-l7- ein Quellbereich festgelegt ist. Prüfen Sie diese Regeln und prüfen Sie, ob ein Quellbereich festgelegt ist.

Führen Sie den folgenden Befehl aus, um die von MCG verwalteten Firewallregeln in Ihrer aktuellen Umgebung aufzulisten:

gcloud compute firewall-rules list --format="json" --filter="name:gkemcg1-l7-*" | jq -r '.[] | "\(.name): \(.sourceRanges // "No source range")"' | awk -F: '{if ($2 ~ /No source range|^\s*$/) print "Rule "$1" has an EMPTY or MISSING source range."; else print "Rule "$1" has source range(s): "$2;}'

Wenn Sie in Logs nach Aktualisierungen der von MCG verwalteten Firewallkonfigurationen suchen möchten, verwenden Sie den Log-Explorer mit der folgenden Abfrage:

protoPayload.serviceName="compute.googleapis.com"
          resource.type="gce_firewall_rule"
          protoPayload.resourceName=~"projects/[^/]+/global/firewalls/gkemcg1-"
          -operation.last="true"

Wenn Sie die von MCG verwalteten Firewallregeln in Ihrer Organisation auflisten möchten, führen Sie den folgenden Befehl aus, um Cloud Asset Inventory abzufragen:

gcloud asset search-all-resources
          --scope='organizations/'
          --asset-types='compute.googleapis.com/Firewall'
          --query 'name: //compute.googleapis.com/projects/*/*/firewalls/gkemcg*'

Die folgenden zusätzlichen Kontrollen bieten einen umfassenden Schutz vor nicht vertrauenswürdigen Netzwerken und können zur Verbesserung der Sicherheitslage beitragen:

• Verwenden Sie private GKE-Knoten, damit Ihre Knoten nur private IP-Adressen erhalten.
• Verwenden Sie nach Möglichkeit explizite DENY-Firewallrichtlinien.
• Verwenden Sie eine hierarchische Firewallrichtlinie, um Firewallkonfigurationen auf VPC-Ebene zu überschreiben.
• Verwenden Sie Cloud Service Mesh für die Authentifizierung und Autorisierung.
• Verwenden Sie die Authentifizierung und Autorisierung innerhalb der Anwendung.
• Verwenden Sie den Organisationsrichtliniendienst, um Firewallregeln zu blockieren, die den gesamten Traffic zulassen. Erstellen Sie dazu eine Einschränkung, um alle Firewallregeln für den Traffic abzulehnen, und wenden Sie sie mit einer Richtlinie an.

Wir empfehlen Ihnen, Konfigurationen und Protokolle zu überprüfen, um alle Anwendungen oder Dienste zu identifizieren, die im oben genannten Zeitraum möglicherweise offengelegt wurden, aber nicht hätten offengelegt werden sollen. Mit den folgenden Tools können Sie den eingehenden Traffic zu Ihren Ressourcen prüfen, die in Google Cloudausgeführt werden:

• VPC-Flusslogs für Informationen zum Netzwerkdurchsatz und zur Leistung
• Cloud Logging zum Suchen und Analysieren von Logging-Daten und Ereignissen aus Diensten und Anwendungen von Google Cloud , die zum Senden von Protokollen konfiguriert sind
• Logging von Firewallregeln, um die Auswirkungen Ihrer Firewallregeln zu prüfen, zu überprüfen und zu analysieren
• Security Command Center für Informationen zu Sicherheitsergebnissen, die auf verdächtige Netzwerkaktivitäten hinweisen
• Ihre Anwendungsprotokolle

Es wurde ein Sicherheitsproblem mit Multi-Cluster-Gateway (MCG) entdeckt, einer GKE-Funktion, mit der Kunden Traffic auf mehrere Cluster verteilen können.

GDC-Cluster (VMware) unterstützen MCG nicht und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Es wurde ein Sicherheitsproblem mit Multi-Cluster-Gateway (MCG) entdeckt, einer GKE-Funktion, mit der Kunden Traffic auf mehrere Cluster verteilen können.

GKE on AWS-Cluster unterstützen MCG nicht und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Es wurde ein Sicherheitsproblem mit Multi-Cluster-Gateway (MCG) entdeckt, einer GKE-Funktion, mit der Kunden Traffic auf mehrere Cluster verteilen können.

GKE on Azure-Cluster unterstützen MCG nicht und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Es wurde ein Sicherheitsproblem mit Multi-Cluster-Gateway (MCG) entdeckt, einer GKE-Funktion, mit der Kunden Traffic auf mehrere Cluster verteilen können.

GDC-Cluster (Bare Metal) unterstützen MCG nicht und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 12.12.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.28.15-gke.1342000
• 1.29.10-gke.1280000
• 1.30.6-gke.1596000
• 1.31.3-gke.1023000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.1576000
• 1.28.14-gke.1217000
• 1.29.9-gke.1496000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Ein in Kubernetes-Clustern entdecktes Sicherheitsproblem kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository schädlich erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Führen Sie ein Upgrade Ihres GKE-Cluster und Ihrer Knotenpools auf eine gepatchte Version durch. Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Aus Sicherheitsgründen empfehlen wir, auch wenn die automatische Knotenaktualisierung aktiviert ist, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine gepatchte GKE-Version durchzuführen. Mit Release-Versionen von GKE können Sie Patches anwenden, ohne das Abo eines Kanals kündigen oder die Release-Version ändern zu müssen. So können Sie Ihren Cluster und Ihre Knoten sichern, bevor die neue Version in der ausgewählten Release-Version zur Standardversion wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2024-10220 kann ein Angreifer einen Pod erstellen und ein gitRepo-Volume zuordnen, um beliebige Befehle über die Containergrenze hinweg auszuführen.

Ein in Kubernetes-Clustern entdecktes Sicherheitsproblem kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository schädlich erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Ein in Kubernetes-Clustern entdecktes Sicherheitsproblem kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository schädlich erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Ein in Kubernetes-Clustern entdecktes Sicherheitsproblem kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository schädlich erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Ein in Kubernetes-Clustern entdecktes Sicherheitsproblem kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository schädlich erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19. November 2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1784000
• 1.28.15-gke.1080000
• 1.29.10-gke.1155000
• 1.30.6-gke.1059000
• 1.31.2-gke.1354000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.1478000
• 1.28.14-gke.1099000
• 1.29.9-gke.1177000
• 1.30.5-gke.1145000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

Wie gehe ich am besten vor?

Aktualisierung vom 15.10.2024:Die folgenden Versionen von GDC (VMware) wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Cluster (VMware) auf eine der folgenden Versionen oder höher durch:

• 1.30.100-gke.96
• 1.29.600-gke.109
• 1.28.1000-gke.59

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Ausführung von Remote-Code führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung dazu herstellen können.

GKE verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Ausführung von Remote-Code führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung dazu herstellen können.

Die GDC-Software für VMware verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Ausführung von Remote-Code führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung dazu herstellen können.

GKE on AWS verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Ausführung von Remote-Code führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung dazu herstellen können.

GKE on Azure verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Ausführung von Remote-Code führen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung dazu herstellen können.

Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users möglicherweise Containerprotokolle lesen und AUTHORITY\Authenticated Nutzer Containerprotokolle möglicherweise ändern können.

Alle Kubernetes-Umgebungen mit Windows-Knoten sind betroffen. Führen Sie kubectl get nodes -l kubernetes.io/os=windows aus, um zu prüfen, ob Windows-Knoten verwendet werden.

Betroffene GKE-Versionen

• 1.27.15 und älter
• 1.28.11 und älter
• 1.29.6 und niedriger
• 1.30.2 und früher

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Kanal wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Welche Sicherheitslücken werden behoben?

CVE-2024-5321

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users Containerprotokolle möglicherweise gelesen und AUTHORITY\Authenticated Containerprotokolle möglicherweise von Nutzern geändert werden können.

Alle Kubernetes-Umgebungen mit Windows-Knoten sind betroffen. Führen Sie kubectl get nodes -l kubernetes.io/os=windows aus, um zu prüfen, ob Windows-Knoten belegt sind.

Wie gehe ich am besten vor?

Patchversionen für die GDC-Software für VMware sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden behoben?

CVE-2024-5321

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem festgestellt, bei dem BUILTIN\Users Containerprotokolle möglicherweise gelesen und AUTHORITY\Authenticated Containerprotokolle möglicherweise von Nutzern geändert werden können.

GKE on AWS-Cluster unterstützen keine Windows-Knoten und sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem festgestellt, bei dem BUILTIN\Users Containerprotokolle möglicherweise gelesen und AUTHORITY\Authenticated Containerprotokolle möglicherweise von Nutzern geändert werden können.

GKE on Azure-Cluster unterstützen keine Windows-Knoten und sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem festgestellt, bei dem BUILTIN\Users Containerprotokolle möglicherweise gelesen und AUTHORITY\Authenticated Containerprotokolle möglicherweise von Nutzern geändert werden können.

GDC-Software für Bare-Metal-Cluster unterstützt keine Windows-Knoten und ist nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GKE unterstützt IPv6 unter Windows nicht und ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

Die GDC-Software für VMware unterstützt IPv6 unter Windows nicht und ist von dieser CVE nicht betroffen. Sie müssen nichts weiter tun.

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GKE on AWS ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GKE on Azure ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GDC (Bare Metal) ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 01.11.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

Wie gehe ich am besten vor?

Aktualisierung vom 21.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.28.1100-gke.91
• 1.30.200-gke.101
• 1.29.600-gke.109

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 30.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

Wie gehe ich am besten vor?

Aktualisierung vom 25.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.29.700-gke.110
• 1.28.1100-gke.91
• 1.30.200-gke.101

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 30.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

Wie gehe ich am besten vor?

Aktualisierung vom 21.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 21. August 2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

Wie gehe ich am besten vor?

Aktualisierung vom 19.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.29.400
• 1.28.900

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 30.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

Wie gehe ich am besten vor?

Aktualisierung vom 21.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 02.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1287000
• 1.28.13-gke.1042000
• 1.29.8-gke.1096000
• 1.30.4-gke.1476000
• 1.30.4-gke.1476000
• 1.31.0-gke.1577000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

Wie gehe ich am besten vor?

Aktualisierung vom 20.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.30.200
• 1.29.500
• 1.28.1000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Update vom 18. Juli 2024 : In der ursprünglichen Version dieses Bulletins wurde fälschlicherweise angegeben, dass Autopilot-Cluster betroffen waren. Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber angreifbar sein, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder die CAP_NET_ADMIN-Funktion zulassen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19. Juli 2024 : Die folgenden GKE-Versionen enthalten Code, mit dem diese Sicherheitslücke unter Ubuntu behoben wird. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Aktualisierung vom 16.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.29.200
• 1.28.700
• 1.16.11

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Aktualisierung vom 03.07.2024 : Es ist ein beschleunigtes Roll-out in vollem Gange. Wir gehen davon aus, dass neue Patchversionen bis zum 3. Juli 2024 um 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7) in allen Zonen verfügbar sein werden. Wenn Sie benachrichtigt werden möchten, sobald ein Patch für Ihren Cluster verfügbar ist, verwenden Sie Clusterbenachrichtigungen.

Update vom 02.07.2024 : Diese Sicherheitslücke betrifft sowohl Cluster im Autopilot- als auch im Standardmodus. In den folgenden Abschnitten wird jeweils angegeben, für welche Modi die Informationen gelten.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Auf allen unterstützten Versionen von Container-Optimized OS- und Ubuntu-Images in GKE werden Versionen von OpenSSH ausgeführt, die für dieses Problem anfällig sind.

GKE-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden.

Die GKE-Steuerungsebene ist nicht anfällig für dieses Problem.

Wie gehe ich am besten vor?

03.07.2024 – Update: Patchversionen für GKE

Die Einführung erfolgt beschleunigt. Neue Patchversionen werden voraussichtlich bis zum 3. Juli 2024 um 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7) in allen Zonen verfügbar sein.

Cluster und Knoten mit aktiviertem automatischen Upgrade werden im Laufe der Woche aktualisiert. Aufgrund der Schwere der Sicherheitslücke empfehlen wir jedoch, ein manuelles Upgrade wie unten beschrieben durchzuführen, um die Patches so schnell wie möglich zu erhalten.

Aktualisieren Sie sowohl Autopilot- als auch Standardcluster auf eine Version der Steuerungsebene mit Patch. Führen Sie bei Clustern im Standardmodus außerdem ein Upgrade Ihrer Knotenpools auf eine Patchversion aus. In Autopilot-Clustern werden Ihre Knoten so bald wie möglich auf die Version der Steuerungsebene aktualisiert.

Für jede unterstützte Version sind gepatchte GKE-Versionen verfügbar, um die für die Anwendung des Patches erforderlichen Änderungen zu minimieren. Die Versionsnummer jeder neuen Version ist eine Steigerung der letzten Ziffer in der Versionsnummer einer entsprechenden vorhandenen Version. Wenn Sie beispielsweise 1.27.14-gke.1100000 verwenden, führen Sie ein Upgrade auf 1.27.14-gke.1100002 aus, um die Fehlerbehebung mit möglichst wenigen Änderungen zu erhalten. Die folgenden gepatchten GKE-Versionen sind verfügbar:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Führen Sie den folgenden Befehl aus, um zu prüfen, ob ein Patch in Ihrer Clusterzone oder Region verfügbar ist:

gcloud container get-server-config --location=LOCATION

Ersetzen Sie LOCATION durch Ihre Zone oder Region.

Update vom 02.07.2024 : Sowohl Cluster im Autopilot-Modus als auch im Standardmodus sollten so bald wie möglich aktualisiert werden, nachdem Patchversionen verfügbar sind.

Eine gepatchte GKE-Version mit einem aktualisierten OpenSSH wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wenn Sie eine Pub/Sub-Benachrichtigung erhalten möchten, wenn ein Patch für Ihren Kanal verfügbar ist, aktivieren Sie Clusterbenachrichtigungen. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihres Clusters zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden.

Prüfen, ob Ihre Knoten öffentliche IP-Adressen haben

Update vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot- als auch für Standardcluster.

Wenn ein Cluster mit enable-private-nodes erstellt wird, sind die Knoten privat. Dadurch wird die Sicherheitslücke geschlossen, da die Knoten nicht mehr dem Internet ausgesetzt sind. Führen Sie den folgenden Befehl aus, um festzustellen, ob für Ihren Cluster private Knoten aktiviert sind:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Wenn der Rückgabewert „True“ ist, sind alle Knoten private Knoten für diesen Cluster und die Sicherheitslücke wird geschlossen. Wenn der Wert leer oder falsch ist, fahren Sie mit einer der Abhilfemaßnahmen in den folgenden Abschnitten fort.

Wenn Sie alle Cluster finden möchten, die ursprünglich mit öffentlichen Knoten erstellt wurden, verwenden Sie diese Cloud Asset Inventory-Abfrage im Projekt oder in der Organisation:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Update vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot- als auch für Standardcluster.

Das Standardnetzwerk enthält bereits eine default-allow-ssh-Firewallregel, die den SSH-Zugriff aus dem öffentlichen Internet zulässt. So entfernen Sie diesen Zugriff:

• Optional können Sie Regeln erstellen, um den erforderlichen SSH-Zugriff von vertrauenswürdigen Netzwerken auf GKE-Knoten oder andere Compute Engine-VMs im Projekt zuzulassen.
• Deaktivieren Sie die Standard-Firewallregel mit dem folgenden Befehl:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Wenn Sie andere Firewallregeln erstellt haben, die SSH über TCP auf Port 22 zulassen, deaktivieren Sie sie oder beschränken Sie die Quell-IPs auf vertrauenswürdige Netzwerke.

Prüfen Sie, ob Sie nicht mehr über das Internet eine SSH-Verbindung zu den Clusterknoten herstellen können. Diese Firewallkonfiguration verringert die Sicherheitslücke.

Öffentliche Knotenpools in private umwandeln

Update vom 02.07.2024 : Bei Autopilot-Clustern, die ursprünglich als öffentliche Cluster erstellt wurden, können Sie Ihre Arbeitslasten mithilfe von nodeSelectors auf privaten Knoten platzieren. Autopilot-Knoten, auf denen Systemarbeitslasten in Clustern ausgeführt werden, die ursprünglich als öffentliche Cluster erstellt wurden, sind jedoch weiterhin öffentliche Knoten und sollten mithilfe der im vorherigen Abschnitt beschriebenen Firewalländerungen geschützt werden.

Um Cluster, die ursprünglich mit öffentlichen Knoten erstellt wurden, bestmöglich zu schützen, empfehlen wir, SSH wie bereits beschrieben über die Firewall zu deaktivieren. Wenn Sie SSH nicht über die Firewallregeln deaktivieren können, können Sie öffentliche Knotenpools in GKE-Standardclustern in private Cluster umwandeln. Folgen Sie dazu dieser Anleitung zum Isolieren von Knotenpools.

SSHD-Konfiguration ändern

Update vom 02.07.2024 : Dieser Abschnitt gilt nur für Standardcluster. Autopilot-Arbeitslasten dürfen die Knotenkonfiguration nicht ändern.

Wenn keine dieser Maßnahmen angewendet werden kann, haben wir auch einen Daemon-Set veröffentlicht, mit dem SSHD LoginGraceTime auf null gesetzt und der SSH-Daemon neu gestartet wird. Dieser Daemon-Set kann auf den Cluster angewendet werden, um den Angriff abzuschwächen. Beachten Sie, dass diese Konfiguration das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit dem legitimen SSH-Zugriff verursachen kann. Dieser Daemon-Set sollte nach dem Anwenden eines Patches entfernt werden.

Aktualisierung vom 11.07.2024 : Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Administrator-Workstation, Administratorcluster und Nutzercluster (einschließlich Knotenpools) auf eine der folgenden Versionen oder höher durch. Eine Anleitung finden Sie unter Cluster oder Knotenpool aktualisieren.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

In der Aktualisierung dieses Bulletins vom 02.07.2024 wurde fälschlicherweise angegeben, dass alle unterstützten Versionen von Ubuntu-Images auf GDC-Software für VMware Versionen von OpenSSH ausführen, die für dieses Problem anfällig sind. Auf Ubuntu-Images in der GDC-Software für VMware-Version 1.16-Cluster werden Versionen von OpenSSH ausgeführt, die nicht anfällig für dieses Problem sind. Ubuntu-Images in der GDC-Software für VMware 1.28 und 1.29 sind anfällig. Container-Optimized OS-Images auf allen unterstützten Versionen der GDC-Software für VMware sind anfällig für dieses Problem.

Aktualisierung vom 2. Juli 2024 : Alle unterstützten Versionen von Container-Optimized OS und Ubuntu-Images in der GDC-Software für VMware verwenden Versionen von OpenSSH, die für dieses Problem anfällig sind.

GDC-Software für VMware-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollte zur Risikominderung mit der höchsten Priorität behandelt werden.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer erhalten dadurch Root-Zugriff auf GKE-Knoten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Eine gepatchte GDC-Software für die VMware-Version, die ein aktualisiertes OpenSSH enthält, wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen, die folgenden Maßnahmen zur Risikominderung bei Bedarf anzuwenden.

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Sie können die Netzwerkkonfiguration Ihrer Infrastruktur so ändern, dass SSH-Verbindungen von nicht vertrauenswürdigen Quellen wie dem öffentlichen Internet nicht zulässig sind.

SSHD-Konfiguration ändern

Wenn Sie die oben genannte Abhilfemaßnahme nicht anwenden können, haben wir einen DaemonSet veröffentlicht, mit dem der sshd LoginGraceTime auf null gesetzt und der SSH-Daemon neu gestartet wird. Dieser DaemonSet kann auf den Cluster angewendet werden, um den Angriff abzuschwächen. Beachten Sie, dass diese Konfiguration das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit legitimem SSH-Zugriff verursachen kann. Entfernen Sie dieses DaemonSet, nachdem ein Patch angewendet wurde.

Aktualisierung vom 11.07.2024 : Die folgenden GKE on AWS-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Führen Sie ein Upgrade der GKE on AWS-Steuerungsebene und der Knotenpools auf eine dieser Versionen mit Patches oder höher durch. Eine Anleitung finden Sie unter AWS-Clusterversion upgraden und Knotenpool aktualisieren.

Aktualisierung vom 02.07.2024 : Auf allen unterstützten Versionen von Ubuntu-Images in GKE on AWS werden Versionen von OpenSSH ausgeführt, die anfällig für dieses Problem sind.

GKE on AWS-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Eine gepatchte GKE on AWS-Version mit einem aktualisierten OpenSSH wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihres Clusters zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden.

Prüfen, ob Ihre Knoten öffentliche IP-Adressen haben

In GKE on AWS werden keine Maschinen mit öffentlichen IP-Adressen oder Firewallregeln bereitgestellt, die standardmäßig Traffic zu Port 22 zulassen. Je nach Subnetzkonfiguration können Computer jedoch während der Bereitstellung automatisch eine öffentliche IP-Adresse erhalten.

Ob Knoten mit öffentlichen IP-Adressen bereitgestellt werden, sehen Sie in der Konfiguration des Subnetzes, das mit Ihrer AWS-Knotenpool-Ressource verknüpft ist.

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Auch wenn GKE on AWS standardmäßig keinen Traffic auf Port 22 auf einem Knoten zulässt, können Kunden Knotenpools zusätzliche Sicherheitsgruppen zuweisen, um eingehenden SSH-Traffic zu ermöglichen.

Wir empfehlen, entsprechende Regeln aus den bereitgestellten Sicherheitsgruppen entfernen oder einzuschränken.

Öffentliche Knotenpools in private umwandeln

Um Cluster mit öffentlichen Knoten bestmöglich zu schützen, empfehlen wir, SSH wie im vorherigen Abschnitt beschrieben über Ihre Sicherheitsgruppe zu deaktivieren. Wenn Sie SSH nicht über die Sicherheitsgruppenregeln deaktivieren können, können Sie öffentliche Knotenpools in private umwandeln. Deaktivieren Sie dazu die Option, Maschinen innerhalb eines Subnetzes automatisch öffentliche IP-Adressen zuzuweisen, und stellen Sie den Knotenpool neu bereit.

Aktualisierung vom 11. Juli 2024 : Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Führen Sie ein Upgrade der GKE on Azure-Steuerungsebene und der Knotenpools auf eine dieser Versionen mit Patch oder höher durch. Eine Anleitung finden Sie unter Upgrade der Azure-Clusterversion ausführen und Knotenpool aktualisieren.

Aktualisierung vom 02.07.2024 : Auf allen unterstützten Versionen von Ubuntu-Images in GKE on Azure werden Versionen von OpenSSH ausgeführt, die für dieses Problem anfällig sind.

GKE-on-Azure-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Eine gepatchte GKE on Azure-Version mit einem aktualisierten OpenSSH wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, sobald Patches verfügbar sind. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihres Clusters zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden.

Prüfen, ob Ihre Knoten öffentliche IP-Adressen haben

Bei GKE on Azure werden keine Maschinen mit öffentlichen IP-Adressen oder Firewallregeln bereitgestellt, die standardmäßig Traffic an Port 22 zulassen. Führen Sie den folgenden Befehl aus, um in Ihrer Azure-Konfiguration zu prüfen, ob in Ihrem GKE on Azure-Cluster öffentliche IP-Adressen konfiguriert sind:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Auch wenn GKE on Azure standardmäßig keinen Traffic auf Port 22 auf einem Knoten zulässt, können Kunden NetworkSecurityGroup-Regeln für Knotenpools aktualisieren, um eingehenden SSH-Traffic aus dem öffentlichen Internet zu ermöglichen.

Wir empfehlen Ihnen dringend, die mit Ihren Kubernetes-Clustern verknüpften Netzwerksicherheitsgruppen (NSGs) zu überprüfen. Wenn eine NSG-Regel vorhanden ist, die uneingeschränkten eingehenden Traffic an Port 22 (SSH) zulässt, gehen Sie so vor:

• Regel vollständig entfernen: Wenn kein SSH-Zugriff auf die Clusterknoten aus dem Internet erforderlich ist, entfernen Sie die Regel, um potenzielle Angriffsvektoren zu eliminieren.
• Begrenzung des Geltungsbereichs der Regel: Beschränken Sie den eingehenden Zugriff auf Port 22 auf die IP-Adressen oder -Bereiche, für die er erforderlich ist. So wird die Angriffsfläche für potenzielle Angriffe minimiert.

Öffentliche Knotenpools in private umwandeln

Um Cluster mit öffentlichen Knoten bestmöglich zu schützen, empfehlen wir, SSH wie im vorherigen Abschnitt beschrieben über Ihre Sicherheitsgruppe zu deaktivieren. Wenn Sie SSH nicht über die Sicherheitsgruppenregeln deaktivieren können, können Sie öffentliche Knotenpools in private umwandeln, indem Sie die öffentlichen IP-Adressen entfernen, die den VMs zugewiesen sind.

Informationen zum Entfernen einer öffentlichen IP-Adresse aus einer VM und zum Ersetzen durch eine private IP-Adresse finden Sie unter Verknüpfung einer öffentlichen IP-Adresse mit einer Azure-VM aufheben.

Auswirkungen : Alle bestehenden Verbindungen, die die öffentliche IP-Adresse verwenden, werden unterbrochen. Achten Sie darauf, dass Sie alternative Zugriffsmethoden eingerichtet haben, z. B. ein VPN oder Azure Bastion.

Aktualisierung vom 02.07.2024 : In der ursprünglichen Version dieses Bulletins für die GDC-Software für Bare Metal wurde fälschlicherweise angegeben, dass Patchversionen in Arbeit sind. Die GDC-Software für Bare Metal ist nicht direkt betroffen, da sie den SSH-Daemon oder die Konfiguration des Betriebssystems nicht verwaltet. Für Patchversionen ist daher der Betriebssystemanbieter verantwortlich, wie im Abschnitt Was kann ich tun? beschrieben.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Wie gehe ich am besten vor?

Update vom 02.07.2024 : Wenden Sie sich an Ihren Betriebssystemanbieter, um einen Patch für die Betriebssysteme zu erhalten, die mit der GDC-Software für Bare Metal verwendet werden.

Achten Sie darauf, dass bis zur Anwendung des Patches des Betriebssystemanbieters keine SSH-Verbindungen vom Internet aus zu öffentlich zugänglichen Maschinen zugelassen werden. Wenn das nicht möglich ist, können Sie alternativ LoginGraceTime auf null setzen und den sshd-Server neu starten:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Beachten Sie, dass diese Konfigurationsänderung das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit dem legitimen SSH-Zugriff verursachen kann.

Ursprünglicher Text vom 01.07.2024 (Korrektur siehe vorheriges Update vom 02.07.2024):

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 20.08.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

Wie gehe ich am besten vor?

Aktualisierung vom 25.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.29.400
• 1.28.900

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 06.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

Wie gehe ich am besten vor?

Aktualisierung vom 17.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.29.400
• 1.28.800
• 1.16.11

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgende GKE-Version wurde mit Code aktualisiert, um diese Sicherheitslücke unter Container-Optimized OS zu schließen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf die folgende Patchversion oder höher:

• 1.27.15-gke.1125000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen, für die jedoch keine Patchversion verfügbar ist. Wir aktualisieren dieses Bulletin, sobald Patchversionen verfügbar sind:

• 1,26
• 1,27

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 10. Juli 2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Führen Sie für die Nebenversionen 1.26 und 1.27 ein Upgrade Ihrer Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Aktualisierung vom 26.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.28.900-gke.113
• 1.29.400-gke.8

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

In GKE wird keine angreifbare Version von Fluent Bit verwendet und es ist nicht betroffen.

Wie gehe ich am besten vor?

GKE ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

Da in GKE on VMware keine angreifbare Version von Fluent Bit verwendet wird, ist es nicht betroffen.

Wie gehe ich am besten vor?

GKE on VMware ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

In GKE on AWS wird keine anfällige Version von Fluent Bit verwendet und es ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on AWS ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

In GKE on Azure wird keine anfällige Version von Fluent Bit verwendet und es ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on Azure ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

Bei GKE on Bare Metal wird keine anfällige Version von Fluent Bit verwendet und die Umgebung ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19.08.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.05.2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Aktualisierung vom 09.05.2024: Der Schweregrad wurde von „Mittel“ auf „Hoch“ korrigiert. Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 15. Mai 2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Aktualisierung vom 25.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.28.600
• 1.16.9

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Update vom 09.05.2024:Der Schweregrad wurde von „Mittel“ auf „Hoch“ korrigiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 06.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18. Juli 2024 : Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (einschließlich des von Kubernetes verwendeten Golang-HTTP-Servers) eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) entdeckt. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken sind durch einen eingeschränkten Netzwerkzugriff geschützt. Alle anderen Cluster sind jedoch betroffen.

GKE Autopilot- und Standardcluster sind betroffen.

Wie gehe ich am besten vor?

24.04.2024 – Update:Patchversionen für GKE wurden hinzugefügt.

Die folgenden GKE-Versionen enthalten die Golang-Sicherheits-Patches zur Behebung dieser Sicherheitslücke. Aktualisieren Sie Ihre GKE-Cluster auf die folgenden Versionen oder höher:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Das Golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE-Versionen mit diesen Patches verfügbar sind. Wenn Sie einen Patch in kürzerer Zeit benötigen, wenden Sie sich an den Support.

Sie können das Risiko minimieren, indem Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene konfigurieren:

Sie können Ihre Cluster vor dieser Art von Angriffen schützen, indem Sie autorisierte Netzwerke konfigurieren. Folgen Sie der Anleitung zum Aktivieren autorisierter Netzwerke für einen vorhandenen Cluster.

Weitere Informationen dazu, wie autorisierte Netzwerke den Zugriff auf die Steuerungsebene steuern, finden Sie unter Funktionsweise von autorisierten Netzwerken. Die Standardberechtigungen für den Netzwerkzugriff finden Sie in der Tabelle im Abschnitt Zugriff auf Endpunkte der Steuerungsebene.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (einschließlich des von Kubernetes verwendeten Golang-HTTP-Servers) eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) entdeckt. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen.

Wie gehe ich am besten vor?

Aktualisierung vom 17.07.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Die folgenden Versionen von GKE on VMware enthalten Code, mit dem diese Sicherheitslücke behoben wird. Führen Sie ein Upgrade Ihrer GKE on VMware-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.29.0
• 1.28.500
• 1.16.8

Das Golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on VMware-Versionen mit diesen Patches verfügbar sind. Wenn Sie einen Patch in kürzerer Zeit benötigen, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (einschließlich des von Kubernetes verwendeten Golang-HTTP-Servers) eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) entdeckt. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen.

Wie gehe ich am besten vor?

Das Golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on AWS-Versionen mit diesen Patches verfügbar sind. Wenn Sie einen Patch in kürzerer Zeit benötigen, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (einschließlich des von Kubernetes verwendeten Golang-HTTP-Servers) eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) entdeckt. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen.

Wie gehe ich am besten vor?

Das Golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on Azure-Versionen mit diesen Patches verfügbar sind. Wenn Sie einen Patch in kürzerer Zeit benötigen, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (einschließlich des von Kubernetes verwendeten Golang-HTTP-Servers) eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) entdeckt. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen.

Wie gehe ich am besten vor?

Aktualisierung vom 09.07.2024:Patchversionen für GKE on Bare Metal wurden hinzugefügt.

Die folgenden Versionen von GKE on Bare Metal enthalten Code, mit dem diese Sicherheitslücke behoben wird. Führen Sie ein Upgrade Ihrer GKE on Bare Metal-Cluster auf eine der folgenden Versionen oder höher durch:

• 1.29.100
• 1.28.600
• 1.16.9

Das Golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on Bare Metal-Versionen mit diesen Patches verfügbar sind. Wenn Sie einen Patch in kürzerer Zeit benötigen, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke (CVE-2023-45288) können Angreifer einen DoS-Angriff auf die Kubernetes-Steuerungsebene ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 06.05.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu schließen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Update vom 04.04.2024:Korrigierte Mindestversionen für GKE-Knotenpools mit Container-Optimized OS.

Die Mindest-GKE-Versionen, die die oben aufgeführten Korrekturen für Container-Optimized OS enthalten, waren falsch. Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Container-Optimized OS zu schließen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf die folgenden Versionen oder höher:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Aktualisierung vom 17.04.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Die folgenden GKE-Versionen auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf die folgenden Versionen oder höher:

• 1.28.200
• 1.16.6
• 1.15.10

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

GKE Standard-Cluster, die Windows Server-Knoten ausführen und ein In-Tree-Speicher-Plug-in verwenden, sind möglicherweise betroffen.

GKE Autopilot-Cluster und GKE-Knotenpools, die GKE Sandbox verwenden, sind nicht betroffen, da sie keine Windows Server-Knoten unterstützen.

Wie gehe ich am besten vor?

So ermitteln Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie die Audit-Logs auf Anzeichen von Ausnutzung. Anhand der Kubernetes-Audit-Logs lässt sich feststellen, ob diese Sicherheitslücke ausgenutzt wird. Ereignisse zum Erstellen von Persistent Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starker Hinweis auf eine Ausnutzung.

Aktualisieren Sie Ihren GKE-Cluster und Ihre Knotenpools auf eine Patchversion. Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, empfehlen wir Ihnen, ein manuelles Upgrade Ihres Clusters und Ihrer Windows Server-Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on VMware-Cluster, die Windows Server-Knoten ausführen und ein In-Tree-Speicher-Plug-in verwenden, sind möglicherweise betroffen.

Wie gehe ich am besten vor?

So ermitteln Sie, ob in Ihren Clustern Windows Server-Knoten verwendet werden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie die Audit-Logs auf Anzeichen von Ausnutzung. Anhand der Kubernetes-Audit-Logs lässt sich feststellen, ob diese Sicherheitslücke ausgenutzt wird. Ereignisse zum Erstellen von Persistent Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starker Hinweis auf eine Ausnutzung.

Aktualisieren Sie Ihren GKE on VMware-Cluster und Ihre Knotenpools auf eine gepatchte Version. Die folgenden GKE on VMware-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, empfehlen wir Ihnen, ein manuelles Upgrade Ihres Clusters und Ihrer Windows Server-Knotenpools auf eine der folgenden GKE on VMware-Versionen oder höher durchzuführen:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on AWS-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on Azure-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Eskalierung von Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on Bare Metal-Cluster sind nicht betroffen.

Wie gehe ich am besten vor?

Keine Aktion erforderlich

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt. Ein Nutzer mit Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten kann dadurch möglicherweise vollen Zugriff auf das Knotendateisystem erhalten.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 28. Februar 2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Update vom 15. Februar 2024: Aufgrund eines Problems können die folgenden Ubuntu-Patchversionen vom Update vom 14. Februar 2024 dazu führen, dass Ihre Knoten in einen nicht ordnungsgemäßen Zustand versetzt werden. Führen Sie kein Upgrade auf die folgenden Patchversionen durch. Wir aktualisieren dieses Bulletin, sobald neuere Patchversionen für Ubuntu für 1.25 und 1.26 verfügbar sind.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Wenn Sie bereits ein Upgrade auf eine dieser Patchversionen durchgeführt haben, führen Sie ein manuelles Downgrade Ihres Knotenpools auf eine frühere Version in Ihrem Release-Kanal aus.

Aktualisierung vom 14.02.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Aktualisierung vom 06.02.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu beheben. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Container-Optimized OS-Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Wir aktualisieren GKE mit Code, um diese Sicherheitslücke zu schließen. Wir aktualisieren dieses Bulletin, sobald Patchversionen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Spawnen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden versehentlich mehrere Dateienbeschreiber in den runc init-Prozess gesendet, der in einem Container ausgeführt wird. runc hat außerdem nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befindet. Ein schädliches Container-Image oder ein Nutzer mit Berechtigung zum Ausführen beliebiger Pods kann eine Kombination aus den gehackten Dateideskriptoren und der fehlenden Validierung des Arbeitsverzeichnisses nutzen, um auf den Host-Montage-Namespace eines Knotens und auf das gesamte Hostdateisystem zuzugreifen und beliebige Binärdateien auf dem Knoten zu überschreiben.

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt, bei der ein Nutzer mit Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten möglicherweise vollständigen Zugriff auf das Knotendateisystem erhalten kann.

Wie gehe ich am besten vor?

Aktualisierung vom 06.03.2024: Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf die folgenden Versionen oder höher:

• 1.28.200
• 1.16.6
• 1.15.9

Patchversionen und eine Schweregradbewertung für GKE on VMware sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Spawnen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden versehentlich mehrere Dateienbeschreiber in den runc init-Prozess gesendet, der in einem Container ausgeführt wird. runc hat außerdem nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befindet. Ein schädliches Container-Image oder ein Nutzer mit Berechtigung zum Ausführen beliebiger Pods kann eine Kombination aus den gehackten Dateideskriptoren und der fehlenden Validierung des Arbeitsverzeichnisses nutzen, um auf den Host-Montage-Namespace eines Knotens und auf das gesamte Hostdateisystem zuzugreifen und beliebige Binärdateien auf dem Knoten zu überschreiben.

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt, bei der ein Nutzer mit Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten möglicherweise vollständigen Zugriff auf das Knotendateisystem erhalten kann.

Wie gehe ich am besten vor?

Aktualisierung vom 06.05.2024: Die folgenden Versionen von GKE on AWS wurden mit Patches für CVE-2024-21626 aktualisiert:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Patchversionen und eine Bewertung des Schweregrads für GKE on AWS sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Spawnen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden versehentlich mehrere Dateienbeschreiber in den runc init-Prozess gesendet, der in einem Container ausgeführt wird. runc hat außerdem nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befindet. Ein schädliches Container-Image oder ein Nutzer mit Berechtigung zum Ausführen beliebiger Pods kann eine Kombination aus den gehackten Dateideskriptoren und der fehlenden Validierung des Arbeitsverzeichnisses nutzen, um auf den Host-Montage-Namespace eines Knotens und auf das gesamte Hostdateisystem zuzugreifen und beliebige Binärdateien auf dem Knoten zu überschreiben.

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt, bei der ein Nutzer mit Berechtigung zum Erstellen von Pods auf Container-Optimized OS- und Ubuntu-Knoten möglicherweise vollständigen Zugriff auf das Knotendateisystem erhalten kann.

Wie gehe ich am besten vor?

Aktualisierung vom 06.05.2024: Die folgenden Versionen von GKE on Azure wurden mit Patches für CVE-2024-21626 aktualisiert:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Patchversionen und eine Bewertung der Schwere für GKE on Azure sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Spawnen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden versehentlich mehrere Dateienbeschreiber in den runc init-Prozess gesendet, der in einem Container ausgeführt wird. runc hat außerdem nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befindet. Ein schädliches Container-Image oder ein Nutzer mit Berechtigung zum Ausführen beliebiger Pods kann eine Kombination aus den gehackten Dateideskriptoren und der fehlenden Validierung des Arbeitsverzeichnisses nutzen, um auf den Host-Montage-Namespace eines Knotens und auf das gesamte Hostdateisystem zuzugreifen und beliebige Binärdateien auf dem Knoten zu überschreiben.

In runc wurde die Sicherheitslücke CVE-2024-21626 entdeckt, durch die ein Nutzer mit Berechtigung zum Erstellen von Pods möglicherweise vollständigen Zugriff auf das Knotendateisystem erhalten kann.

Wie gehe ich am besten vor?

Aktualisierung vom 02.04.2024: Die folgenden Versionen von GKE on Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aktualisieren Sie Ihre Cluster auf die folgenden Versionen oder höher:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Patchversionen und eine Bewertung der Schwere für GKE on Bare Metal sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden mit diesem Patch behoben?

runc ist ein Low-Level-Tool zum Spawnen und Ausführen von Linux-Containern, die in Kubernetes-Pods verwendet werden. In runc-Versionen vor den in diesem Sicherheitsbulletin veröffentlichten Patches wurden versehentlich mehrere Dateienbeschreiber in den runc init-Prozess gesendet, der in einem Container ausgeführt wird. runc hat außerdem nicht überprüft, ob sich das endgültige Arbeitsverzeichnis eines Containers im Bereitstellungs-Namespace des Containers befindet. Ein schädliches Container-Image oder ein Nutzer mit Berechtigung zum Ausführen beliebiger Pods kann eine Kombination aus den gehackten Dateideskriptoren und der fehlenden Validierung des Arbeitsverzeichnisses nutzen, um auf den Host-Montage-Namespace eines Knotens und auf das gesamte Hostdateisystem zuzugreifen und beliebige Binärdateien auf dem Knoten zu überschreiben.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 07. Februar 2024:Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Update vom 26.01.2024: Sicherheitsforscher haben eine kleine Anzahl von GKE-Clustern mit einer von Kunden erstellten Fehlkonfiguration gefunden, die die Gruppe system:authenticated betrifft. Die Ergebnisse wurden veröffentlicht. Im Blogpost des Forschers wird auf 1.300 Cluster mit einigen falsch konfigurierten Bindungen und 108 mit hohen Berechtigungen verwiesen. Wir haben eng mit den betroffenen Kunden zusammengearbeitet, um sie zu benachrichtigen und ihnen beim Entfernen ihrer falsch konfigurierten Bindungen zu helfen.

Wir haben mehrere Cluster gefunden, in denen Nutzer der Gruppe system:authenticated Kubernetes-Berechtigungen erteilt haben. Diese Gruppe umfasst alle Nutzer mit einem Google-Konto. Diese Arten von Bindungen werden nicht empfohlen, da sie gegen das Prinzip der geringsten Berechtigung verstoßen und sehr großen Gruppen von Nutzern Zugriff gewähren. Eine Anleitung dazu, wie Sie diese Arten von Bindungen finden, finden Sie unter „Was kann ich tun?“.

Vor Kurzem hat ein Sicherheitsforscher über unser Programm zur Meldung von Sicherheitslücken Cluster mit RBAC-Fehlkonfigurationen gemeldet.

Google möchte die Authentifizierung in Google Cloud und GKE so einfach und sicher wie möglich gestalten, ohne dass komplexe Konfigurationsschritte erforderlich sind. Die Authentifizierung gibt nur an, wer der Nutzer ist. Bei der Autorisierung wird der Zugriff festgelegt. Die Gruppe system:authenticated in GKE, die alle Nutzer enthält, die über den Identitätsanbieter von Google authentifiziert wurden, funktioniert also wie vorgesehen und genauso wie die IAM-Kennung „allAuthenticatedUsers“.

Aus diesem Grund haben wir mehrere Maßnahmen ergriffen, um das Risiko zu verringern, dass Nutzer Autorisierungsfehler mit den in Kubernetes integrierten Nutzern und Gruppen machen, einschließlich system:anonymous, system:authenticated und system:unauthenticated. Alle diese Nutzer/Gruppen stellen ein Risiko für den Cluster dar, wenn ihnen Berechtigungen gewährt werden. Bei der Kubecon im November 2023 haben wir einige Angriffe auf fehlerhafte RBAC-Konfigurationen und verfügbare Abwehrmaßnahmen besprochen.

Um Nutzer vor versehentlichen Autorisierungsfehlern mit diesen Systemnutzern/-gruppen zu schützen, haben wir Folgendes eingerichtet:

• Standardmäßig blockierte neue Bindungen der hoch privilegierten ClusterRole cluster-admin an den Nutzer system:anonymous, die Gruppe system:authenticated oder die Gruppe system:unauthenticated in GKE-Version 1.28.
• Es wurden Erkennungsregeln in Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) als Teil von Security Command Center integriert.
• Konfigurierbare Präventionsregeln wurden mit K8sRestrictRoleBindings in Policy Controller eingebunden.
• E-Mail-Benachrichtigungen an alle GKE-Nutzer mit Bindungen an diese Nutzer/Gruppen gesendet, in denen sie aufgefordert wurden, ihre Konfiguration zu überprüfen.
• Wir haben Netzwerkautorisierungsfunktionen implementiert und Empfehlungen zur Einschränkung des Netzwerkzugriffs auf Cluster als erste Verteidigungslinie gegeben.
• Wir haben in einem Vortrag auf der Kubecon im November 2023 auf dieses Problem aufmerksam gemacht.

Cluster, für die Einschränkungen für autorisierte Netzwerke gelten, haben eine erste Verteidigungsschicht: Sie können nicht direkt über das Internet angegriffen werden. Wir empfehlen jedoch, diese Bindungen zu entfernen, um für einen umfassenden Schutz zu sorgen und Fehler in den Netzwerksteuerungen zu vermeiden.
Es gibt einige Fälle, in denen Bindungen an Kubernetes-Systemnutzer oder ‑gruppen beabsichtigt verwendet werden: z.B. für das kubeadm-Bootstrapping, das Rancher-Dashboard und Bitnami-versiegelte Geheimnisse. Wir haben von diesen Softwareanbietern die Bestätigung erhalten, dass diese Bindungen wie vorgesehen funktionieren.

Wir prüfen, wie wir Nutzer vor einer fehlerhaften Konfiguration der RBAC-Berechtigungen durch diese Systemnutzer/-gruppen schützen können, indem wir Prävention und Erkennung einsetzen.

Wie gehe ich am besten vor?

Um neue Bindungen von cluster-admin an den Nutzer system:anonymous, die Gruppe system:authenticated oder die Gruppe system:unauthenticated zu verhindern, können Nutzer auf GKE v1.28 oder höher (Release-Notes) aktualisieren. Dort ist das Erstellen dieser Bindungen blockiert.

Vorhandene Bindungen sollten anhand dieser Anleitung überprüft werden.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

Wie gehe ich am besten vor?

Aktualisierung vom 20.02.2024:Die folgenden Versionen von GKE auf VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf die folgenden Versionen oder höher: 1.28.100

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das Seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.4-gke.400
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Ein Angreifer, der den Fluent Bit-Logging-Container manipuliert hat, könnte diesen Zugriff mit hohen Berechtigungen kombinieren, die von Cloud Service Mesh in Clustern, in denen es aktiviert ist, benötigt werden, um Berechtigungen im Cluster zu steigern. Die Probleme mit Fluent Bit und Cloud Service Mesh wurden behoben und es sind jetzt Fehlerkorrekturen verfügbar. Diese Sicherheitslücken können in GKE nicht eigenständig ausgenutzt werden, sondern erfordern eine anfängliche Manipulation. Uns sind keine Fälle bekannt, in denen diese Sicherheitslücken ausgenutzt wurden.

Diese Probleme wurden über unser Prämienprogramm für die Meldung von Sicherheitslücken gemeldet.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücken in Fluent Bit und für Nutzer von verwaltetem Cloud Service Mesh zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Cluster- und Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

Wenn in Ihrem Cluster das In-Cluster-Cloud Service Mesh verwendet wird, müssen Sie manuell ein Upgrade auf eine der folgenden Versionen ausführen (Release Notes):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Für die Ausnutzung der in diesem Bulletin beschriebenen Sicherheitslücken muss ein Angreifer den Fluent Bit-Logging-Container manipulieren. Uns sind keine Sicherheitslücken in Fluent Bit bekannt, die diese Voraussetzung für die Rechteausweitung erfüllen würden. Wir haben diese Sicherheitslücken geschlossen, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

In GKE werden Logs für Arbeitslasten, die in Clustern ausgeführt werden, mit Fluent Bit verarbeitet. Fluent Bit in GKE wurde auch so konfiguriert, dass Logs für Cloud Run-Arbeitslasten erfasst werden. Das Volume-Mount, das für die Erfassung dieser Protokolle konfiguriert war, gab Fluent Bit Zugriff auf Kubernetes-Dienstkonto-Tokens für andere Pods, die auf dem Knoten ausgeführt wurden. Der Angreifer nutzte diesen Zugriff, um ein Token für ein Dienstkonto mit sehr hohen Berechtigungen für Cluster zu finden, für die Cloud Service Mesh aktiviert ist.

Für Cloud Service Mesh waren hohe Berechtigungen erforderlich, um die Konfiguration eines Clusters zu ändern, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Sicherheitsforscher nutzte das Token des privilegierten Kubernetes-Dienstkontos von Cloud Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Cluster-Administratorberechtigungen erstellte.

Wir haben den Zugriff von Fluent Bit auf die Dienstkontotokens entfernt und die Funktionen von Cloud Service Mesh neu gestaltet, um überflüssige Berechtigungen zu entfernen.

Betroffen sind nur GKE on VMware-Cluster, die Cloud Service Mesh verwenden.

Wie gehe ich am besten vor?

Wenn in Ihrem Cluster das In-Cluster-Cloud Service Mesh verwendet wird, müssen Sie manuell ein Upgrade auf eine der folgenden Versionen ausführen (Release Notes):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Für die in diesem Bulletin beschriebenen Sicherheitslücken muss ein Angreifer zuerst einen Container manipulieren oder anderweitig ausbrechen oder Root-Zugriff auf einen Clusterknoten haben. Uns sind keine Sicherheitslücken bekannt, die zu dieser Voraussetzung für die Rechteausweitung führen würden. Wir haben diese Sicherheitslücken geschlossen, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Für Cloud Service Mesh waren hohe Berechtigungen erforderlich, um die Konfiguration eines Clusters zu ändern, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Rechercheur nutzte das Token des privilegierten Kubernetes-Dienstkontos von Cloud Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Cluster-Administratorberechtigungen erstellte.

Wir haben die Funktionen von Cloud Service Mesh überarbeitet, um übermäßige Berechtigungen zu entfernen.

Nur GKE on AWS-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn in Ihrem Cluster das In-Cluster-Cloud Service Mesh verwendet wird, müssen Sie manuell ein Upgrade auf eine der folgenden Versionen ausführen (Release Notes):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Für die in diesem Bulletin beschriebenen Sicherheitslücken muss ein Angreifer zuerst einen Container manipulieren oder anderweitig ausbrechen oder Root-Zugriff auf einen Clusterknoten haben. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung erfüllen. Wir haben diese Sicherheitslücken geschlossen, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Für Cloud Service Mesh waren hohe Berechtigungen erforderlich, um die Konfiguration eines Clusters zu ändern, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Rechercheur nutzte das Token des privilegierten Kubernetes-Dienstkontos von Cloud Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Cluster-Administratorberechtigungen erstellte.

Wir haben die Funktionen von Cloud Service Mesh überarbeitet, um übermäßige Berechtigungen zu entfernen.

Nur GKE-Cluster in Azure, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn in Ihrem Cluster das In-Cluster-Cloud Service Mesh verwendet wird, müssen Sie manuell ein Upgrade auf eine der folgenden Versionen ausführen (Release Notes):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Für die in diesem Bulletin beschriebenen Sicherheitslücken muss ein Angreifer zuerst einen Container manipulieren oder anderweitig ausbrechen oder Root-Zugriff auf einen Clusterknoten haben. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung erfüllen. Wir haben diese Sicherheitslücken geschlossen, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Für Cloud Service Mesh waren hohe Berechtigungen erforderlich, um die Konfiguration eines Clusters zu ändern, einschließlich der Möglichkeit, Pods zu erstellen und zu löschen. Der Rechercheur nutzte das Token des privilegierten Kubernetes-Dienstkontos von Cloud Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Cluster-Administratorberechtigungen erstellte.

Wir haben die Funktionen von Cloud Service Mesh überarbeitet, um übermäßige Berechtigungen zu entfernen.

Nur GKE on Bare Metal-Cluster, die Cloud Service Mesh verwenden, sind betroffen.

Wie gehe ich am besten vor?

Wenn in Ihrem Cluster das In-Cluster-Cloud Service Mesh verwendet wird, müssen Sie manuell ein Upgrade auf eine der folgenden Versionen ausführen (Release Notes):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Welche Sicherheitslücken werden mit diesem Patch behoben?

Für die in diesem Bulletin beschriebenen Sicherheitslücken muss ein Angreifer zuerst einen Container manipulieren oder anderweitig ausbrechen oder Root-Zugriff auf einen Clusterknoten haben. Uns sind keine Sicherheitslücken bekannt, die diese Voraussetzung für die Rechteausweitung erfüllen. Wir haben diese Sicherheitslücken geschlossen, um eine potenzielle vollständige Angriffskette in Zukunft zu verhindern.

Für Anthos Service Mesh waren hohe Berechtigungen erforderlich, um die Konfiguration eines Clusters zu ändern, z. B. Pods zu erstellen und zu löschen. Der Rechercheur nutzte das Token des privilegierten Kubernetes-Dienstkontos von Cloud Service Mesh, um seine ursprünglich kompromittierten Berechtigungen zu eskalieren, indem er einen neuen Pod mit Cluster-Administratorberechtigungen erstellte.

Wir haben die Funktionen von Cloud Service Mesh überarbeitet, um übermäßige Berechtigungen zu entfernen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.01.2024: Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Wie gehe ich am besten vor?

Aktualisierung vom 04.03.2024: Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf eine der folgenden Versionen oder höher:

• 1.28.200
• 1.16.5
• 1.15.8

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster sind nicht betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 15.11.2023: Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Versionen mit Patches aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Wenn Sie beispielsweise GKE 1.27 verwenden, sollten Sie auf die entsprechende Version mit Patch aktualisieren. Wenn Sie jedoch GKE 1.24 verwenden, müssen Sie kein Upgrade auf eine gepatchte Version durchführen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Sie können Patch-Versionen aus neueren Release-Kanälen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in seinem eigenen Release-Kanal ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrem Release-Channel wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 05.12.2023 : Einige GKE-Versionen fehlten zuvor. Im Folgenden finden Sie eine aktualisierte Liste der GKE-Versionen, auf die Sie Container-Optimized OS aktualisieren können:

• 1.24.17-gke.200 oder höher
• 1.25.13-gke.200 oder höher
• 1.26.8-gke.200 oder höher
• 1.27.4-gke.2300 oder höher
• 1.28.1-gke.1257000 oder höher

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.27.5-gke.1647000

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Update vom 21. 12. 2023: Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Dies war jedoch falsch. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, aber möglicherweise anfällig, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen. Auch GKE Sandbox-Arbeitslasten sind nicht betroffen.

Autopilot-Cluster sind davon betroffen.

Cluster, die GKE Sandbox verwenden, sind davon betroffen.

Wie gehe ich am besten vor?

Update vom 21.11.2023 : Sie müssen nur dann auf eine der in diesem Bulletin aufgeführten Patchversionen aktualisieren, wenn Sie diese Minor-Version auf Ihren Knoten verwenden. Nicht aufgeführte Nebenversionen sind nicht betroffen.

Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken sind durch einen eingeschränkten Netzwerkzugriff geschützt. Alle anderen Cluster sind jedoch betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 09.11.2023:Wir haben neue Versionen von GKE veröffentlicht, die die Go- und Kubernetes-Sicherheits-Patches enthalten. Sie können Ihre Cluster jetzt auf diese Versionen aktualisieren. In den kommenden Wochen werden wir weitere Änderungen an der GKE-Steuerungsebene vornehmen, um dieses Problem weiter einzudämmen.

Die folgenden GKE-Versionen wurden mit Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Wir empfehlen, die folgenden Maßnahmen so schnell wie möglich umzusetzen und ein Upgrade auf die neueste Version mit Patch durchzuführen, sobald diese verfügbar ist.

Golang-Patches werden am 10. Oktober veröffentlicht. Sobald sie verfügbar sind, erstellen und zertifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen eine GKE-Version mit den Patches. Sobald der GKE-Release verfügbar ist, aktualisieren wir dieses Bulletin mit einer Anleitung dazu, auf welche Version Sie Ihre Steuerungsebene aktualisieren sollten. Außerdem werden die Patches im GKE-Sicherheitsstatus angezeigt, sofern sie für Ihren Cluster verfügbar sind. Wenn Sie eine Pub/Sub-Benachrichtigung erhalten möchten, wenn ein Patch für Ihren Kanal verfügbar ist, aktivieren Sie Clusterbenachrichtigungen.

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Sie können das Risiko minimieren, indem Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene konfigurieren:

Sie können autorisierte Netzwerke für vorhandene Cluster hinzufügen. Weitere Informationen finden Sie unter Autorisiertes Netzwerk für vorhandene Cluster.

Zusätzlich zu den von Ihnen hinzugefügten autorisierten Netzwerken gibt es voreingestellte IP-Adressen, die auf die GKE-Steuerungsebene zugreifen können. Weitere Informationen zu diesen Adressen finden Sie unter Zugriff auf Endpunkte der Steuerungsebene. Die folgenden Punkte fassen die Clusterisolation zusammen:

• Private Cluster mit --master-authorized-networks und PSC-basierte Cluster mit --master-authorized-networks und --no-enable-google-cloud sind am besten isoliert.
• Auf Legacy-öffentliche Cluster mit --master-authorized-networks und PSC-basierte Cluster mit --master-authorized-networks und --enable-google-cloud (Standard) kann zusätzlich über Folgendes zugegriffen werden:
  • Öffentliche IP-Adressen aller Compute Engine-VMs in Google Cloud
  • Google Cloud -Plattform-IP-Adressen

Welche Sicherheitslücken werden mit diesem Patch behoben?

Über die Sicherheitslücke CVE-2023-44487 können Angreifer einen Denial-of-Service-Angriff auf GKE-Knoten der Steuerungsebene ausführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. Mit GKE on VMware werden Kubernetes-Cluster erstellt, die standardmäßig nicht direkt über das Internet zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Aktualisierung vom 14.02.2024 : Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf die folgenden oder höheren Patchversionen:

• 1.28.100
• 1.16.6
• 1.15.8

Wenn Sie Ihre GKE auf VMware Kubernetes-Clustern so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, sich an Ihren Firewall-Administrator zu wenden, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die aktuelle Patch-Version durchzuführen, sobald sie verfügbar ist.

Golang-Patches werden am 10. Oktober veröffentlicht. Sobald sie verfügbar sind, erstellen und zertifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen eine GKE-Version mit den Patches. Sobald die GKE-Version verfügbar ist, aktualisieren wir diese Mitteilung mit einer Anleitung dazu, auf welche Version Sie Ihre Steuerungsebene aktualisieren sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-44487 ermöglicht es einem Angreifer, einen Denial-of-Service-Angriff auf Kubernetes-Steuerungsebeneknoten auszuführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. Mit GKE on AWS werden private Kubernetes-Cluster erstellt, auf die standardmäßig nicht direkt über das Internet zugegriffen werden kann. Sie sind daher vor dieser Sicherheitslücke geschützt.

Wie gehe ich am besten vor?

Aktualisierung vom 20.03.2024:Die folgenden GKE on AWS-Versionen wurden mit Patches für CVE-2023-44487 aktualisiert:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Wenn Sie GKE on AWS so konfiguriert haben, dass es direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke hat, empfehlen wir Ihnen, sich an Ihren Firewalladministrator zu wenden, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die aktuelle Patch-Version durchzuführen, sobald sie verfügbar ist.

Golang-Patches werden am 10. Oktober veröffentlicht. Sobald sie verfügbar sind, erstellen und zertifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen eine GKE-Version mit den Patches. Sobald die GKE-Version verfügbar ist, aktualisieren wir diese Mitteilung mit einer Anleitung dazu, auf welche Version Sie Ihre Steuerungsebene aktualisieren sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-44487 ermöglicht es einem Angreifer, einen Denial-of-Service-Angriff auf Kubernetes-Steuerungsebeneknoten auszuführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. Mit GKE on Azure werden private Kubernetes-Cluster erstellt, die standardmäßig nicht direkt vom Internet aus zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

20.03.2024 – Update:Die folgenden GKE on Azure-Versionen wurden mit Patches für CVE-2023-44487 aktualisiert:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Wenn Sie Ihre GKE in Azure-Clustern so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke hat, empfehlen wir Ihnen, sich an Ihren Firewalladministrator zu wenden, um diesen Zugriff zu blockieren oder einzuschränken.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die aktuelle Patch-Version durchzuführen, sobald sie verfügbar ist.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-44487 ermöglicht es einem Angreifer, einen Denial-of-Service-Angriff auf Kubernetes-Steuerungsebeneknoten auszuführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Kubernetes-Steuerungsebene führen. Mit Anthos on Bare Metal werden Kubernetes-Cluster erstellt, die standardmäßig nicht direkt vom Internet aus zugänglich sind und vor dieser Sicherheitslücke geschützt sind.

Wie gehe ich am besten vor?

Wenn Sie Ihre Anthos on Bare Metal-Kubernetes-Cluster so konfiguriert haben, dass sie direkten Zugriff auf das Internet oder andere nicht vertrauenswürdige Netzwerke haben, empfehlen wir Ihnen, mit Ihrem Firewall-Administrator zusammenzuarbeiten, um diesen Zugriff zu blockieren oder einzuschränken. Weitere Informationen finden Sie in der Sicherheitsübersicht für GKE on Bare Metal.

Wir empfehlen, so schnell wie möglich ein Upgrade auf die aktuelle Patch-Version durchzuführen, sobald sie verfügbar ist.

Golang-Patches werden am 10. Oktober veröffentlicht. Sobald sie verfügbar sind, erstellen und zertifizieren wir einen neuen Kubernetes API-Server mit diesen Patches und veröffentlichen eine GKE-Version mit den Patches. Sobald die GKE-Version verfügbar ist, aktualisieren wir diese Mitteilung mit einer Anleitung dazu, auf welche Version Sie Ihre Steuerungsebene aktualisieren sollten.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke CVE-2023-44487 ermöglicht es einem Angreifer, einen Denial-of-Service-Angriff auf Kubernetes-Steuerungsebeneknoten auszuführen.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

GKE-Cluster sind nur dann betroffen, wenn sie Windows-Knoten enthalten.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

Die GKE-Steuerungsebene wird in der Woche vom 04.09.2023 aktualisiert, um den CSI-Proxy auf Version 1.1.3 zu aktualisieren. Wenn Sie Ihre Knoten vor dem Update der Steuerungsebene aktualisieren, müssen Sie sie nach dem Update noch einmal aktualisieren, um den neuen Proxy nutzen zu können. Sie können die Knoten auch noch einmal aktualisieren, ohne die Knotenversion zu ändern. Führen Sie dazu den Befehl gcloud container clusters upgrade aus und übergeben Sie das Flag --cluster-version mit der GKE-Version, die der Knotenpool bereits ausführt. Für diese Problemumgehung muss die gcloud CLI verwendet werden. Hinweis: Dies führt unabhängig von Wartungsfenstern zu einer Aktualisierung.

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-3676 kann ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet führt keine Eingabebereinigung durch und übergibt diesen manipulierten Pfadstring als Argument an den Befehlsausführer, wo Teile des Strings als separate Befehle ausgeführt werden. Diese Befehle werden mit denselben Administratorberechtigungen wie Kubelet ausgeführt.

Bei CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Möglichkeit, Code mit derselben Berechtigungsebene wie der Kubelet-Agent auszuführen, also mit privilegierten Berechtigungen.

Bei CVE-2023-3893 kann ein Nutzer, der Pods auf Windows-Knoten mit kubernetes-csi-proxy erstellen kann, aufgrund einer ähnlichen fehlenden Eingabevalidierung Administratorberechtigungen auf diesen Knoten erhalten.

Mithilfe von Kubernetes-Audit-Logs lässt sich erkennen, ob diese Sicherheitslücke ausgenutzt wird. Pod-Erstellungsereignisse mit eingebetteten PowerShell-Befehlen sind ein starkes Indiz für einen Missbrauch. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods bereitgestellt werden, sind ebenfalls ein starkes Indiz für eine Ausnutzung.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

Cluster sind nur dann betroffen, wenn sie Windows-Knoten enthalten.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit CVE-2023-3676 kann ein böswilliger Akteur eine Pod-Spezifikation mit Hostpfadstrings erstellen, die PowerShell-Befehle enthalten. Kubelet führt keine Eingabebereinigung durch und übergibt diesen manipulierten Pfadstring als Argument an den Befehlsausführer, wo Teile des Strings als separate Befehle ausgeführt werden. Diese Befehle werden mit denselben Administratorberechtigungen wie Kubelet ausgeführt.

Bei CVE-2023-3955 gewährt Kubelet Nutzern, die Pods erstellen können, die Möglichkeit, Code mit derselben Berechtigungsebene wie der Kubelet-Agent auszuführen, also mit privilegierten Berechtigungen.

Bei CVE-2023-3893 kann ein Nutzer, der Pods auf Windows-Knoten mit kubernetes-csi-proxy erstellen kann, aufgrund einer ähnlichen fehlenden Eingabevalidierung Administratorberechtigungen auf diesen Knoten erhalten.

Mithilfe von Kubernetes-Audit-Logs lässt sich erkennen, ob diese Sicherheitslücke ausgenutzt wird. Pod-Erstellungsereignisse mit eingebetteten PowerShell-Befehlen sind ein starkes Indiz für einen Missbrauch. ConfigMaps und Secrets, die eingebettete PowerShell-Befehle enthalten und in Pods bereitgestellt werden, sind ebenfalls ein starkes Indiz für eine Ausnutzung.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

Wie gehe ich am besten vor?

GKE on AWS ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

Wie gehe ich am besten vor?

GKE on Azure ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von diesen CVEs nicht betroffen. Sie müssen nichts weiter tun.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind betroffen, da GKE Autopilot-Knoten immer Container-Optimized OS-Knoten-Images verwenden. Betroffen sind GKE-Standardcluster mit Version 1.25 oder höher, auf denen Container-Optimized OS-Knoten-Images ausgeführt werden.

GKE-Cluster sind nicht betroffen, wenn nur Ubuntu-Knoten-Images ausgeführt werden, Versionen vor 1.25 verwendet werden oder die GKE Sandbox verwendet wird.

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen durchzuführen:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version zur Standardversion für Ihre Release-spezifische Version wird.

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2235 wurde bei der Funktion „perf_group_detach“ der „attach_state“ der Geschwister des Ereignisses nicht geprüft, bevor „add_event_to_groups()“ aufgerufen wurde. Mit „remove_on_exec“ konnte jedoch „list_del_event()“ aufgerufen werden, bevor die Verbindung zur Gruppe getrennt wurde. Dadurch konnte ein in der Schwebe befindlicher Verweis verwendet werden, was zu einer „Use-After-Free“-Sicherheitslücke führte.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on VMware-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden behoben?

Bei CVE-2023-2235 wurde bei der Funktion „perf_group_detach“ der „attach_state“ der Geschwister des Ereignisses nicht geprüft, bevor „add_event_to_groups()“ aufgerufen wurde. Mit „remove_on_exec“ konnte jedoch „list_del_event()“ aufgerufen werden, bevor die Verbindung zur Gruppe getrennt wurde. Dadurch konnte ein in der Schwebe befindlicher Verweis verwendet werden, was zu einer „Use-After-Free“-Sicherheitslücke führte.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on AWS-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-2235 wurde bei der Funktion „perf_group_detach“ der „attach_state“ der Geschwister des Ereignisses nicht geprüft, bevor „add_event_to_groups()“ aufgerufen wurde. Mit „remove_on_exec“ konnte jedoch „list_del_event()“ aufgerufen werden, bevor die Verbindung zur Gruppe getrennt wurde. Dadurch konnte ein in der Schwebe befindlicher Verweis verwendet werden, was zu einer „Use-After-Free“-Sicherheitslücke führte.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE on Azure-Cluster sind betroffen.

Wie gehe ich am besten vor?

Welche Sicherheitslücken werden mit diesem Patch behoben?

Bei CVE-2023-2235 wurde bei der Funktion „perf_group_detach“ der „attach_state“ der Geschwister des Ereignisses nicht geprüft, bevor „add_event_to_groups()“ aufgerufen wurde. Mit „remove_on_exec“ konnte jedoch „list_del_event()“ aufgerufen werden, bevor die Verbindung zur Gruppe getrennt wurde. Dadurch konnte ein in der Schwebe befindlicher Verweis verwendet werden, was zu einer „Use-After-Free“-Sicherheitslücke führte.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Google Distributed Cloud Virtual for Bare Metal ist von dieser Sicherheitslücke nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.