In questa pagina vengono descritti tutti i bollettini sulla sicurezza per i seguenti prodotti:
- Google Kubernetes Engine (GKE)
- Google Distributed Cloud (solo software) su VMware
- GKE su AWS
- GKE su Azure
- Google Distributed Cloud (solo software) su bare metal
Le vulnerabilità sono spesso mantenute segrete sotto embargo finché le parti interessate non hanno avuto la possibilità di affrontarle. In questi casi, le note di rilascio del prodotto fai riferimento agli "aggiornamenti della sicurezza" fino a quando l'embargo non sarà stato revocato. A quel punto le note verranno aggiornate per riflettere la vulnerabilità affrontata dalla patch.
Quando GKE pubblica un bollettino sulla sicurezza direttamente correlato
la configurazione o la versione del tuo cluster, potremmo inviarti un SecurityBulletinEvent
notifica sul cluster che fornisce informazioni sulla vulnerabilità e sulle azioni
che puoi eseguire, se applicabile. Per informazioni sulla configurazione del cluster
per le notifiche dei cluster, fai riferimento a Notifiche dei cluster.
Per maggiori informazioni su come Google gestisce le vulnerabilità e le patch di sicurezza per GKE e GKE Enterprise, consulta Applicazione di patch di sicurezza.
Le piattaforme GKE e GKE Enterprise non utilizzano componenti come ingress-nginx
e il runtime del contenitore CRI-O e non sono interessate da eventuali vulnerabilità in questi componenti. Se installi componenti da
ad altre fonti, fai riferimento agli aggiornamenti di sicurezza e ai consigli sulle patch
componenti all'origine.
Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza per questa pagina.
GCP-2024-057
Pubblicato il: 03/10/2024
Riferimento:
CVE-2024-45016
Aggiornamento 15/10/2024: sono state aggiunte versioni patch per GDC (VMware). È stata aggiornata la gravità del GDC (VMware) da In attesa a Medio. La gravità di GKE è stata aggiornata da Alta a Media.
GKE
Ultimo aggiornamento: 15/10/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Media |
GDC (VMware)
Ultimo aggiornamento: 15/10/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Aggiornamento del 15/10/2024: le seguenti versioni di GDC (VMware) vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GDC (VMware) alle seguenti versioni o versioni successive:
|
Media |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-056
Pubblicato il: 27-09-2024
Riferimento: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177
GKE
Descrizione | Gravità |
---|---|
Nel sistema di stampa CUPS usato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un utente malintenzionato può sfruttare questa vulnerabilità se I servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi a questa porta. GKE non utilizza il sistema di stampa CUPS e non è interessato. Che cosa devo fare?Nessuna azione richiesta |
Nessuno |
GDC (VMware)
Descrizione | Gravità |
---|---|
Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi. Il software GDC per VMware non utilizza il sistema di stampa CUPS e non è interessato. Che cosa devo fare?Nessuna azione richiesta |
Nessuno |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un utente malintenzionato può sfruttare questa vulnerabilità se I servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi a questa porta. GKE su AWS non utilizza il sistema di stampa CUPS e non è interessato. Che cosa devo fare?Nessuna azione richiesta |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un utente malintenzionato può sfruttare questa vulnerabilità se I servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi a questa porta. GKE su Azure non utilizza il sistema di stampa CUPS e non è interessato. Che cosa devo fare?Nessuna azione richiesta |
Nessuno |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. Che cosa devo fare?Nessuna azione richiesta |
Nessuno |
GCP-2024-054
Pubblicato il 23/09/2024
Riferimento: CVE-2024-5321
GKE
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui
È interessato qualsiasi ambiente Kubernetes con nodi Windows. Esegui
Versioni GKE interessate
Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa predefinita nel canale di release. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. Quali vulnerabilità vengono affrontate?CVE-2024-5321 |
Media |
GDC (VMware)
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui È interessato qualsiasi ambiente Kubernetes con nodi Windows. Esegui
Che cosa devo fare?Le versioni delle patch per il software GDC per VMware sono in corso di elaborazione. Lo faremo aggiornalo con queste informazioni non appena è disponibile. Quali vulnerabilità vengono affrontate?CVE-2024-5321 |
Media |
GKE su AWS
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows
dove I cluster GKE su AWS non supportano i nodi Windows e non sono interessati. Che cosa devo fare?Nessuna azione richiesta
|
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows
dove I cluster GKE su Azure non supportano i nodi Windows e non sono interessati. Che cosa devo fare?Nessuna azione richiesta |
Nessuno |
GDC (bare metal)
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows
in cui Il software GDC per i cluster bare metal non supporta i nodi Windows e non è interessato. Che cosa devo fare?Nessuna azione richiesta |
Nessuno |
GCP-2024-050
Pubblicato il: 04-09-2024
Riferimento: CVE-2024-38063
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063) in Windows. Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host. Che cosa devo fare?GKE non supporta IPv6 su Windows e non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GDC (VMware)
Descrizione | Gravità |
---|---|
In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host. Che cosa devo fare?Il software GDC per VMware non supporta IPv6 su Windows e non è interessato da questo CVE. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063) in Windows. Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host. Che cosa devo fare?GKE su AWS non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host. Che cosa devo fare?GKE su Azure non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GDC (bare metal)
Descrizione | Gravità |
---|---|
In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host. Che cosa devo fare?GDC (bare metal) non è interessato da questo CVE. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GCP-2024-049
Pubblicato il 21/08/2024
Riferimento:
CVE-2024-36978
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GDC (VMware)
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-048
Pubblicato il 20/08/2024
Riferimento:
CVE-2024-41009
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard e Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GDC (VMware)
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-047
Pubblicato il 19/08/2024
Riferimento:
CVE-2024-39503
GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GDC (VMware)
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-045
Pubblicato il 17/07/2024
Ultimo aggiornamento: 19/09/2024
Riferimento:
CVE-2024-26925
Aggiornamento del 19/09/2024: sono state aggiunte le versioni delle patch per GDC (VMware).
Aggiornamento del 21/08/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE.
GKE
Ultimo aggiornamento: 21/08/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 21/08/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GDC (VMware)
Aggiornamento: 19-09-2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Aggiornamento del 19 settembre 2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per VMware alle versioni seguenti o successive:
|
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-044
Pubblicato il: 16/07/2024
Riferimento:
CVE-2024-36972
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GDC (VMware)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-043
Pubblicato il 16/07/2024
Ultimo aggiornamento: 02/10/2024
Riferimento:
CVE-2024-26921
Aggiornamento del 02/10/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE.
Aggiornamento del 20/09/2024: sono state aggiunte le versioni con patch per GDC (VMware).
GKE
Aggiornamento: 02/10/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 02/10/2024: le seguenti versioni di GKE sono aggiornati con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GDC (VMware)
Ultimo aggiornamento: 20/09/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Aggiornamento del 20/09/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:
|
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-042
Pubblicato il 15/07/2024
Ultimo aggiornamento: 18/07/2024
Riferimento:
CVE-2024-26809
Aggiornamento del 18/07/2024: è stato chiarito che i cluster Autopilot nell'impostazione predefinita configurazione non è influenzata.
GKE
Aggiornamento: 18/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento del 18/07/2024: la versione originale di questo bollettino affermava erroneamente che i cluster Autopilot erano interessati. Autopilot
configurazione predefinita non è interessata, ma potrebbe essere vulnerabile se decidi di
imposta il profilo seccomp Unconfined o consenti la funzionalità Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard e Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GDC (VMware)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-041
Pubblicato: 08/07/2024
Aggiornato: 16/09/2024
Riferimento:
CVE-2023-52654, CVE-2023-52656
Aggiornamento del 16/09/2024: sono state aggiunte le versioni delle patch per GDC (VMware).
Aggiornamento 19/07/2024: sono state aggiunte versioni patch per i pool di nodi Ubuntu su GKE.
GKE
Ultimo aggiornamento: 19/07/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard e Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 19/07/2024: le seguenti versioni di GKE contengono per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GDC (VMware)
Aggiornamento: 16-09-2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Aggiornamento del 16/09/2024: le seguenti versioni del software GDC per VMware vengono aggiornati con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:
|
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-040
Pubblicato il 01/07/2024
Ultimo aggiornamento: 11/07/2024
Riferimento:
CVE-2024-6387
Aggiornamento 11/07/2024: sono state aggiunte versioni patch per il software GDC per VMware, GKE su AWS e GKE su Azure.
Aggiornamento 03/07/2024: sono state aggiunte le versioni patch per GKE
Aggiornamenti del 02/07/2024:
- È stato chiarito che i cluster Autopilot sono interessati e richiederà un'azione da parte dell'utente.
- Sono state aggiunte valutazioni dell'impatto e passaggi per la mitigazione per GDC (VMware), GKE su AWS e GKE su Azure.
- È stato corretto il bollettino sulla sicurezza del GDC (bare metal) per chiarire che il GDC (bare metal) non è direttamente coinvolto e che i clienti devono rivolgersi ai fornitori del sistema operativo per verificare la disponibilità di patch.
GKE
Ultimo aggiornamento: 03/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento 03/07/2024: è in corso un'implementazione rapida ed è dovrebbe rendere disponibili nuove versioni delle patch in tutte le zone 3 luglio 2024 alle 17:00 UTC-7 (Ora legale del Pacifico - USA e Canada). A ricevi una notifica non appena è disponibile una patch per il tuo cluster specifico, notifiche di cluster. Aggiornamento del 02/07/2024: questa vulnerabilità interessa sia i cluster in modalità Autopilot sia quelli in modalità Standard. Ciascuna sezione che segue ti indicherà le modalità per a cui si applica questa sezione. Una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387, è stato rilevato di recente in OpenSSH. La vulnerabilità sfrutta una condizione di gara che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli attaccanti di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento. Tutte le versioni supportate di Container Optimized OS e immagini Ubuntu su GKE eseguire versioni di OpenSSH vulnerabili a questo problema. I cluster GKE con indirizzi IP dei nodi pubblici e SSH esposti a internet devono essere trattati con la massima priorità per la mitigazione. Il piano di controllo GKE non è vulnerabile a questo problema. Che cosa devo fare?Aggiornamento del 03/07/2024: versioni patch per GKEÈ in corso un'implementazione accelerata e si prevede che le nuove versioni con patch saranno disponibili in tutte le zone entro le ore 17:00 (ora legale del Pacifico USA e del Canada) del 3 luglio 2024 (UTC-7). L'upgrade dei cluster e dei nodi con l'upgrade automatico abilitato inizierà nel corso della settimana, ma a causa della gravità della vulnerabilità consigliamo di eseguire l'upgrade manualmente come segue per ricevere le patch il più rapidamente possibile. Sia per i cluster Autopilot che per quelli Standard, eseguire l'upgrade del piano di controllo a una versione con patch. Inoltre, per i cluster in modalità Standard, eseguire l'upgrade dei pool di nodi a una versione con patch. I cluster Autopilot inizieranno a eseguire l'upgrade dei nodi in modo che corrispondano la versione del piano di controllo il prima possibile. Le versioni GKE con patch sono disponibili per ogni versione supportata le modifiche necessarie per applicare la patch. Il numero di versione di ogni nuova versione è l'incremento dell'ultima cifra nel numero di versione di una versione esistente corrispondente. Ad esempio, se utilizzi 1.27.14-gke.1100000, eseguirai l'upgrade a 1.27.14-gke.1100002 per ottenere la correzione con la modifica più piccola possibile. Sono disponibili le seguenti versioni GKE con patch:
Per verificare se una patch è disponibile nella zona o nella regione del cluster, esegui questo comando: : gcloud container get-server-config --location= Sostituisci Aggiornamento 02/07/2024: sia la modalità Autopilot che quella Standard l'upgrade dei cluster deve essere eseguito il prima possibile dopo che sono disponibili le versioni patch. Verrà creata una versione GKE con patch che include un OpenSSH aggiornato disponibili il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale: abilitare le notifiche relative al cluster. Ti consigliamo di seguire questi passaggi per verificare l'esposizione del cluster. applicando le mitigazioni descritte, se necessario. Determinare se i nodi hanno indirizzi IP pubbliciAggiornamento 02/07/2024: questa sezione si applica sia ad Autopilot sia di cluster standard. Se un cluster viene creato con
gcloud container clusters describe $CLUSTER_NAME \ --format="value(privateClusterConfig.enablePrivateNodes)" Se il valore restituito è True, tutti i nodi sono privati per questo cluster e la vulnerabilità è attenuata. Se il valore è vuoto o falso, continua ad applicare una delle misure di mitigazione riportate nelle sezioni seguenti. Per trovare tutti i cluster creati originariamente con nodi pubblici, utilizza questa query di Cloud Asset Inventory nel progetto o nell'organizzazione: SELECT resource.data.name AS cluster_name, resource.parent AS project_name, resource.data.privateClusterConfig.enablePrivateNodes FROM `container_googleapis_com_Cluster` WHERE resource.data.privateClusterConfig.enablePrivateNodes is null OR resource.data.privateClusterConfig.enablePrivateNodes = false Non consentire l'accesso SSH ai nodi del clusterAggiornamento del 02/07/2024: questa sezione si applica sia ai cluster Autopilot che ai cluster Standard. La rete predefinita è precompilata con una regola firewall
Se hai creato altre regole firewall che potrebbero consentire l'accesso tramite SSH tramite TCP sulla porta 22, disabilitarle o limitare gli IP di origine alle reti attendibili. Verifica di non poter più eseguire l'accesso tramite SSH ai nodi del cluster. da internet. Questa configurazione del firewall riduce la vulnerabilità. Convertire i pool di nodi pubblici in privatiAggiornamento 02/07/2024: per i cluster Autopilot creati originariamente come pubblici, puoi posizionare i carichi di lavoro su nodi privati utilizzando nodeSelector. Tuttavia, i nodi Autopilot che eseguono carichi di lavoro di sistema su cluster creati come cluster pubblici saranno ancora nodi pubblici e dovrebbero tramite le modifiche al firewall descritte nella sezione precedente. Per proteggere al meglio i cluster creati originariamente con nodi pubblici, ti consigliamo innanzitutto di non consentire SSH tramite il firewall come già descritto. Se non puoi impedire tramite SSH mediante le regole firewall, puoi convertire pool di nodi pubblici su GKE Cluster standard da rendere privati seguendo queste indicazioni per isolare i pool di nodi. Modifica configurazione SSHDAggiornamento 02/07/2024: questa sezione si applica solo agli standard cluster. I carichi di lavoro Autopilot non sono autorizzati a modificare la configurazione dei nodi. Se nessuna di queste mitigazioni può essere applicata, abbiamo anche pubblicato un daemonset
che imposta SSHD |
Critico |
GDC (VMware)
Aggiornamento: 11/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento del 11/07/2024: le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade della workstation di amministrazione, cluster di amministrazione e cluster utente (inclusi i pool di nodi) a uno dei seguenti o versioni successive. Per istruzioni, vedi Esegui l'upgrade di un cluster o di un pool di nodi.
L'aggiornamento del 2 luglio 2024 di questo bollettino indicava erroneamente che tutte le versioni supportate delle immagini Ubuntu sul software GDC per VMware eseguono versioni di OpenSSH vulnerabili a questo problema. Immagini Ubuntu su software GDC per VMware versione 1.16 I cluster eseguono versioni di OpenSSH che non sono vulnerabili a questo problema. Ubuntu le immagini nel software GDC per VMware 1.28 e 1.29 sono vulnerabili. Le immagini del sistema operativo ottimizzato per i container su tutte le versioni supportate del software GDC per VMware sono vulnerabili a questo problema. Aggiornamento 02/07/2024: tutte le versioni supportate di Container-Optimized OS e le immagini Ubuntu sul software GDC per VMware eseguono versioni di OpenSSH vulnerabili a questo problema. Il software GDC per i cluster VMware con indirizzi IP dei nodi pubblici e SSH esposti a internet deve essere trattato con la massima priorità per la mitigazione. Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere usata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina sotto attacco. Non siamo a conoscenza di alcun tentativo di sfruttamento. Che cosa devo fare?Aggiornamento 02/07/2024: un software GDC con patch per la versione VMware che include un aggiornamento OpenSSH che sarà reso disponibile il prima possibile. Questo bollettino verrà aggiornato quando le patch saranno disponibili. Ti consigliamo di applicare quanto segue mitigazioni necessarie. Non consentire l'accesso SSH ai nodi del clusterPuoi modificare la configurazione di rete dell'infrastruttura per non consentire la connettività SSH da fonti non attendibili, come internet pubblico. Modifica configurazione SSHSe non puoi applicare la mitigazione precedente, abbiamo
pubblicato un DaemonSet
che imposta |
Critico |
GKE su AWS
Aggiornamento: 11/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento del 11/07/2024: le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità:
Esegui l'upgrade di GKE su piano di controllo e pool di nodi di GKE a uno di questi con patch o versioni successive. Per istruzioni, vedi Esegui l'upgrade della versione del cluster AWS e Aggiorna un pool di nodi. Aggiornamento del 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su AWS eseguono versioni di OpenSSH vulnerabili a questo problema. I cluster GKE su AWS con indirizzi IP dei nodi pubblici e SSH esposti a internet devono essere trattati con la massima priorità per la mitigazione. Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere usata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di alcun tentativo di sfruttamento. Che cosa devo fare?Aggiornamento 02/07/2024: una versione GKE con patch su AWS che include un aggiornamento OpenSSH che sarà reso disponibile il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di esaminare le seguendo i passaggi per verificare l'esposizione del cluster e applicare le mitigazioni descritte come necessaria. Determinare se i nodi hanno indirizzi IP pubbliciGKE su AWS non esegue il provisioning di nessuna macchina con indirizzi IP pubblici o con regole firewall che consentono il traffico alla porta 22 per impostazione predefinita. Tuttavia, a seconda della configurazione della subnet, le macchine possono ottenere automaticamente un indirizzo IP pubblico durante il provisioning. Per verificare se i nodi sono stati provisionati con indirizzi IP pubblici, controlla la configurazione della subnet associata alla risorsa del pool di nodi AWS. Non consentire l'accesso SSH ai nodi del clusterAnche se GKE su AWS non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono collegare gruppi di sicurezza aggiuntivi ai pool di nodi, consentendo Traffico SSH. Ti consigliamo di rimuovi o riduci l'ambito regole corrispondenti dei gruppi di sicurezza forniti. Converti i pool di nodi pubblici in privatiPer proteggere al meglio i cluster con nodi pubblici, consigliamo prima di non consentire l'accesso tramite SSH gruppo di sicurezza, come descritto nella sezione precedente. Se non è possibile consentire l'accesso SSH le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati disabilitando l'opzione di assegnazione automatica di IP pubblici alle macchine all'interno di una subnet ed eseguire nuovamente il provisioning del pool di nodi. |
Critico |
GKE su Azure
Aggiornamento: 11/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento dell'11/07/2024: le seguenti versioni di GKE su Azure Sono stati aggiornati con il codice per correggere questa vulnerabilità:
Esegui l'upgrade del piano di controllo e dei pool di nodi GKE su Azure a uno di questi con patch o versioni successive. Per istruzioni, consulta Eseguire l'upgrade della versione del cluster Azure e Aggiornare un pool di nodi. Aggiornamento del 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su Azure eseguono versioni di OpenSSH vulnerabili a questo problema. I cluster GKE su Azure con indirizzi IP dei nodi pubblici e SSH esposti a internet devono essere trattati con la massima priorità per la mitigazione. Una vulnerabilità di esecuzione di codice remoto, CVE-2024-6387, è stato rilevato di recente in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere usata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di alcun tentativo di sfruttamento. Che cosa devo fare?Aggiornamento del 02/07/2024: una versione di GKE su Azure con patch che include un OpenSSH aggiornato sarà resa disponibile il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione del tuo cluster e applicare le mitigazioni descritte, se necessario. Determinare se i nodi hanno indirizzi IP pubbliciGKE su Azure non esegue il provisioning di alcuna macchina con indirizzi IP pubblici o con regole del firewall che consentono il traffico alla porta 22 per impostazione predefinita. Per esaminare la configurazione di Azure e verificare se sono presenti indirizzi IP pubblici configurati nel cluster GKE su Azure, esegui il seguente comando: az network public-ip list -g Non consentire l'accesso SSH ai nodi del clusterAnche se GKE su Azure non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono aggiornare le regole NetworkSecurityGroup in pool di nodi, consentendo Traffico SSH dalla rete internet pubblica. Ti consigliamo vivamente di esaminare i gruppi di sicurezza di rete (NSG) associati a nei tuoi cluster Kubernetes. Se esiste una regola NSG che consente il traffico in entrata senza restrizioni sulla porta 22 (SSH), esegui una delle seguenti operazioni:
Convertire i pool di nodi pubblici in privatiPer proteggere al meglio i cluster con nodi pubblici, ti consigliamo innanzitutto di non consentire SSH tramite il gruppo di sicurezza, come descritto nella sezione precedente. Se non è possibile consentire l'accesso SSH le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati e rimuovendo gli indirizzi IP pubblici associati alle VM. Per rimuovere un indirizzo IP pubblico da una VM e sostituirlo con una configurazione di indirizzo IP privato, consulta Disassociare un indirizzo IP pubblico da una VM Azure. Impatto: tutte le connessioni esistenti che utilizzano l'indirizzo IP pubblico verranno interrotte. Assicurati di disporre di metodi di accesso alternativi, come VPN o Azure Bastion. |
Critico |
GDC (bare metal)
Aggiornamento: 02/07/2024
Descrizione | Gravità |
---|---|
Aggiornamento del 02/07/2024: la versione originale di questo bollettino per il software GDC per bare metal indicava erroneamente che le versioni delle patch erano in corso. Il software GDC per bare metal non è direttamente interessato perché non gestisce il daemon o la configurazione SSH del sistema operativo. Le versioni patch sono quindi responsabilità del fornitore del sistema operativo, come descritto Che cosa devo fare?. Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che potrebbe essere usata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento difficili e richiedono diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento. Che cosa devo fare?Aggiornamento del 02/07/2024: contatta il tuo fornitore del sistema operativo per ottenere una patch per i sistemi operativi in uso con il software GDC per bare metal. Fino a quando non avrai applicato la patch del fornitore del sistema operativo, assicurati che le macchine raggiungibili pubblicamente non
consentano connessioni SSH da internet. Se ciò non è possibile, un'alternativa è
imposta grep "^LoginGraceTime" /etc/ssh/sshd_config LoginGraceTime 0 Tieni presente che questa modifica della configurazione potrebbe aumentare il rischio di attacchi di denial of service e potrebbe causare problemi con l'accesso SSH legittimo. Testo originale del 01-07-2024 (vedi l'aggiornamento precedente del 02-07-2024 per una correzione): |
Critico |
GCP-2024-039
Pubblicato il: 28/06/2024
Aggiornato il: 25/09/2024
Riferimento:
CVE-2024-26923
Aggiornamento del 25/09/2024: sono state aggiunte le versioni con patch per GDC (VMware).
Aggiornamento del 20/08/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE.
GKE
Ultimo aggiornamento: 20/08/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 20/08/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GDC (VMware)
Ultimo aggiornamento: 25/09/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Aggiornamento del 25 settembre 2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:
|
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-038
Pubblicato il 26/06/2024
Ultimo aggiornamento: 17/09/2024
Riferimento:
CVE-2024-26924
Aggiornamento del 17/09/2024: sono state aggiunte le versioni delle patch per GDC (VMware).
Aggiornamento 06/08/2024: sono state aggiunte versioni patch per i pool di nodi Ubuntu su GKE.
GKE
Aggiornamento: 06-08-2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 06/08/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE. Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle versioni seguenti o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GDC (VMware)
Ultimo aggiornamento: 17/09/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Aggiornamento 17/09/2024: le seguenti versioni del software GDC per VMware vengono aggiornati con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per VMware alle versioni seguenti o successive:
|
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GDC (bare metal)
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato perché non include un sistema operativo nella distribuzione. |
Nessuno |
GCP-2024-036
Pubblicato il: 18/06/2024
Riferimento:
CVE-2024-26584
GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
I cluster GKE Standard e Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-035
Pubblicato: 12/06/2024
Ultimo aggiornamento: 18/07/2024
Riferimento:
CVE-2024-26584
Aggiornamento del 18/07/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE e una versione della patch per la versione 1.27 sui pool di nodi Container-Optimized OS.
GKE
Aggiornamento: 18/07/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard e Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 18/07/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
La seguente versione di GKE è aggiornata con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade dei pool di nodi Container-Optimized OS alla seguente versione della patch o a una successiva:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Le seguenti versioni secondarie sono interessate, ma non dispongono di una versione patch. Aggiorneremo questo bollettino quando saranno disponibili le versioni con patch:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-034
Pubblicato il: 11/06/2024
Aggiornato il: 10/07/2024
Riferimento:
CVE-2024-26583
Aggiornamento 10/07/2024: sono state aggiunte versioni patch per Nodi di Container-Optimized OS che eseguono versione secondaria 1.26 e 1.27 e aggiunte versioni patch per i nodi Ubuntu.
GKE
Aggiornamento: 10-07-2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
I cluster GKE Standard e Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 10/07/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei pool di nodi Ubuntu a uno dei le seguenti versioni di patch o successive:
Per le versioni secondarie 1.26 e 1.27, esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-033
Pubblicato il: 10/06/2024
Aggiornato il: 26/09/2024
Riferimento:
CVE-2022-23222
Aggiornamento del 26/09/2024: sono state aggiunte le versioni con patch per GDC (VMware).
GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Aggiornamento: 26-09-2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Che cosa devo fare?Aggiornamento 26/09/2024: le seguenti versioni del software GDC per VMware vengono aggiornati con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per VMware alle versioni seguenti o successive:
|
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-031
Pubblicato il 24/05/2024
Riferimento: CVE-2024-4323
GKE
Descrizione | Gravità |
---|---|
In Fluent Bit è stata scoperta una nuova vulnerabilità (CVE-2024-4323) che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3. GKE non utilizza una versione vulnerabile di Fluent Bit e non è interessato. Che cosa devo fare?GKE non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su VMware
Descrizione | Gravità |
---|---|
In Fluent Bit è stata scoperta una nuova vulnerabilità (CVE-2024-4323) che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3. GKE on VMware non utilizza una versione vulnerabile di Fluent Bit e non è interessato. Che cosa devo fare?GKE on VMware non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit. GKE su AWS non utilizza una versione vulnerabile di Fluent Bit e non è interessato. Che cosa devo fare?GKE su AWS non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l’esecuzione di codice da remoto. Sono interessate le versioni da 2.0.7 a 3.0.3 di Fluent Bit. GKE su Azure non utilizza una versione vulnerabile di Fluent Bit e non è interessato. Che cosa devo fare?GKE su Azure non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
In Fluent Bit è stata scoperta una nuova vulnerabilità (CVE-2024-4323) che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3. GKE on Bare Metal non utilizza una versione vulnerabile di Fluent Bit non interessate. Che cosa devo fare?GKE on Bare Metal non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GCP-2024-030
Pubblicato il: 15/05/2024
Aggiornato il: 18/07/2024
Riferimento:
CVE-2023-52620
Aggiornamento 18/07/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE.
GKE
Aggiornamento: 18/07/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 18/07/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-029
Pubblicato il 14/05/2024
Ultimo aggiornamento: 19/08/2024
Riferimento:
CVE-2024-26642
Aggiornamento del 19/08/2024: sono state aggiunte le versioni con patch per i nodi Ubuntu.
GKE
Ultimo aggiornamento: 19/08/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 19/08/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-028
Pubblicato il: 13/05/2024
Aggiornato il: 22/05/2024
Riferimento:
CVE-2024-26581
Aggiornamento 22/05/2024: sono state aggiunte versioni patch per i nodi Ubuntu.
GKE
Aggiornamento: 22/05/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 22/05/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-027
Pubblicato il 08/05/2024
Ultimo aggiornamento: 25/09/2024
Riferimento:
CVE-2024-26808
Aggiornamento del 25/09/2024: sono state aggiunte le versioni con patch per GDC (VMware).
Aggiornamento del 15/05/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu GKE.
Aggiornamento 09/05/2024: gravità corretta da media ad alta e è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non interessati.
GKE
Ultimo aggiornamento: 09/05/2024, 15/05/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Aggiornamento 09/05/2024: gravità corretta da media ad alta.
Il bollettino originale indicava Autopilot
i cluster sono interessati, ma questo errore non è corretto. I cluster GKE Autopilot
nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
imposti esplicitamente il profilo seccomp Unconfined o
consenti Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 15/05/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle versioni seguenti o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Ultimo aggiornamento: 25/09/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Aggiornamento 25/09/2024: le seguenti versioni del software GDC per VMware vengono aggiornati con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per VMware alle versioni seguenti o successive:
|
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-026
Pubblicato il 07/05/2024
Ultimo aggiornamento: 06/08/2024
Riferimento:
CVE-2024-26643
Aggiornamento 06/08/2024: sono state aggiunte versioni patch per i pool di nodi Ubuntu su GKE.
Aggiornamento 09/05/2024 : gravità corretta da media ad alta.
GKE
Aggiornamento: 06-08-2024
Descrizione | Gravità |
---|---|
Aggiornamento 09/05/2024: gravità corretta da media ad alta. Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 06/08/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE. Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle versioni seguenti o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-024
Pubblicato il: 25/04/2024
Aggiornato il: 18/07/2024
Riferimento:
CVE-2024-26585
Aggiornamento 18/07/2024: aggiunte versioni patch per i pool di nodi Ubuntu su GKE.
GKE
Aggiornamento: 18/07/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 18/07/2024: le seguenti versioni di GKE sono aggiornato con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-022
Pubblicato il 03/04/2024
Ultimo aggiornamento: 17/07/2024
Riferimento: CVE-2023-45288
Aggiornamento del 17/07/2024: sono state aggiunte le versioni delle patch per GKE su VMware.
Aggiornamento del 09/07/2024: sono state aggiunte le versioni delle patch per GKE on Bare Metal.
Aggiornamento del 24/04/2024: sono state aggiunte le versioni con patch per GKE.
GKE
Ultimo aggiornamento: 24/04/2024
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma tutti gli altri cluster sono interessati. I cluster GKE Autopilot e Standard sono interessati. Che cosa devo fare?Aggiornamento del 24/04/2024: sono state aggiunte le versioni con patch per GKE. Le seguenti versioni di GKE includono le patch di sicurezza Golang per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE alle seguenti versioni o versioni successive:
Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza. Mitigazione configurando reti autorizzate per l'accesso al piano di controllo:Puoi limitare i tuoi cluster da questa classe di attacchi configurando le reti autorizzate. Segui le istruzioni per abilitare le reti autorizzate per un cluster esistente. Per saperne di più su come le reti autorizzate controllano l'accesso al piano di controllo, vedi Come funzionano le reti autorizzate. Per visualizzare l'accesso di rete autorizzato predefinito, consulta la tabella nella sezione Accesso agli endpoint del piano di controllo. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo di Kubernetes. |
Alta |
GKE su VMware
Aggiornamento: 17/07/2024
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE). Che cosa devo fare?Aggiornamento del 17/07/2024: sono state aggiunte le versioni delle patch per GKE su VMware. Le seguenti versioni di GKE su VMware includono codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE on VMware alla versione seguente versioni successive o successive:
Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on VMware che incorporano queste patch. Per richiedere una patch in una tempistica accelerata, contatta l'assistenza. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo di Kubernetes. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE). Che cosa devo fare?Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE su AWS che incorporano queste patch. Per richiedere una patch con tempistiche accelerate, contatta l'assistenza. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo di Kubernetes. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE). Che cosa devo fare?Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE su Azure che incorporano queste patch. Per richiedere una patch con tempistiche accelerate, contatta l'assistenza. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo di Kubernetes. |
Alta |
GKE su Bare Metal
Ultimo aggiornamento: 09/07/2024
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) (CVE-2023-45288) in molteplici implementazioni del protocollo HTTP/2, tra cui il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE). Che cosa devo fare?Aggiornamento del 09/07/2024: sono state aggiunte le versioni delle patch per GKE on Bare Metal. Le seguenti versioni di GKE on Bare Metal includono il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE on Bare Metal al seguente versioni successive o successive:
Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on Bare Metal che incorporano queste patch. Per richiedere una patch con tempistiche accelerate, contatta l'assistenza. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul piano di controllo di Kubernetes. |
Alta |
GCP-2024-018
Pubblicato il 12/03/2024
Ultimo aggiornamento: 06/05/2024
Riferimento:
CVE-2024-1085
Aggiornamento del 06/05/2024: sono state aggiunte le versioni patch per i pool di nodi GKE Ubuntu e un elemento di riga orizzontale aggiuntivo è stato rimosso dall'aggiornamento del 04/04/2024.
Aggiornamento 04-04-2024: sono state corrette le versioni minime per Pool di nodi GKE Container-Optimized OS.
GKE
Aggiornamento: 06/05/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 06/05/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu alle seguenti versioni o versioni successive.
Aggiornamento 04/04/2024: sono state corrette le versioni minime per i pool di nodi di GKE Container-Optimized OS. Le versioni minime di GKE contenenti le correzioni di Container-Optimized OS elencate in precedenza non erano corrette. Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade dei pool di nodi Container-Optimized OS alle seguenti versioni o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-017
Pubblicato il: 06/03/2024
Riferimento:
CVE-2023-3611
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-014
Pubblicato il 26/02/2024
Riferimento:
CVE-2023-3776
GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-013
Pubblicato il 23/02/2024
Riferimento:
CVE-2023-3610
GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-012
Pubblicato il 20/02/2024
Riferimento:
CVE-2024-0193
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-011
Pubblicato il 15/02/2024
Riferimento:
CVE-2023-6932
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu Container-Optimized OS e:
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-010
Pubblicato il 14/02/2024
Ultimo aggiornamento: 17/04/2024
Riferimento:
CVE-2023-6931
Aggiornamento 17/04/2024: sono state aggiunte versioni patch per GKE su VMware.
GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Ultimo aggiornamento: 17/04/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Aggiornamento del 17/04/2024: sono state aggiunte le versioni delle patch per GKE su VMware. Le seguenti versioni di GKE on VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o versioni successive:
|
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-008
Pubblicato: 12/02/2024
Riferimento: CVE-2023-5528
GKE
Descrizione | Gravità |
---|---|
CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. Cluster GKE Standard in esecuzione Windows Server nodi e l'utilizzo di un plug-in di archiviazione in-tree. I cluster GKE Autopilot e i pool di nodi GKE che utilizzano GKE Sandbox non sono interessati perché non supportano i nodi Windows Server. Che cosa devo fare?Determina se sono presenti nodi Windows Server in uso nei tuoi cluster: kubectl get nodes -l kubernetes.io/os=windows Controlla i log di controllo per verificare la presenza di prove di sfruttamento. È possibile eseguire il controllo dei log di controllo di Kubernetes per determinare se questa vulnerabilità viene sfruttata. Creazione di eventi nel volume permanente con e i campi local path contenenti caratteri speciali sono un chiaro indice di sfruttamento. Aggiorna il cluster GKE e i pool di nodi a una versione con patch. La le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale il tuo cluster e i pool di nodi Windows Server in uno dei seguenti cluster GKE versioni successive o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. I cluster GKE on VMware che eseguono i nodi Windows Server e utilizzano un plug-in di archiviazione in-tree potrebbero essere interessati. Che cosa devo fare?Determina se sono presenti nodi Windows Server in uso nei tuoi cluster: kubectl get nodes -l kubernetes.io/os=windows Controllare i log di controllo per verificare che non ci siano prove di sfruttamento. È possibile eseguire il controllo dei log di controllo di Kubernetes per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi del percorso locale contenenti caratteri speciali sono un'indicazione forte di sfruttamento. Aggiorna il cluster GKE on VMware e i pool di nodi a una versione con patch. La le seguenti versioni di GKE on VMware sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi Windows Server a una delle seguenti versioni GKE su VMware o successive:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-5528 consente a un utente malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. I cluster GKE su AWS non sono interessati. Che cosa devo fare?Nessuna azione richiesta |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. I cluster GKE on Azure non sono interessati. Che cosa devo fare?Nessuna azione richiesta |
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi. I cluster GKE on Bare Metal non sono interessati. Che cosa devo fare?Nessuna azione richiesta |
Nessuno |
GCP-2024-005
Pubblicato il 31/01/2024
Ultimo aggiornamento: 06/05/2024
Riferimento: CVE-2024-21626
Aggiornamento del 06/05/2024: sono state aggiunte le versioni delle patch per GKE su AWS e GKE su Azure.
Aggiornamento del 02/04/2024: sono state aggiunte le versioni delle patch per GKE on Bare Metal
Aggiornamento del 06/03/2024: sono state aggiunte le versioni delle patch per GKE on VMware
Aggiornamento del 28/02/2024: sono state aggiunte le versioni delle patch per Ubuntu
Aggiornamento del 15/02/2024: è stato chiarito che le versioni delle patch Ubuntu 1.25 e 1.26 nell'aggiornamento del 14/02/2024 potrebbero causare nodi non operativi.
Aggiornamento 14/02/2024: aggiunte versioni patch per Ubuntu
Aggiornamento 06/02/2024: sono state aggiunte versioni patch per Container-Optimized OS.
GKE
Ultimo aggiornamento: 06/03/2024
Descrizione | Gravità |
---|---|
In I cluster GKE Standard e Autopilot sono interessati. Cluster che utilizzano GKE Sandbox non sono interessate. Che cosa devo fare?Aggiornamento del 28/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni di patch o a versioni successive:
Aggiornamento 15/02/2024: a causa di un problema, le seguenti versioni delle patch di Ubuntu dall'aggiornamento del 14/02/2024 potrebbe causare l'ingresso in uno stato non integro dei nodi. Azioni sconsigliate alle seguenti versioni delle patch. Aggiorneremo questo bollettino quando una nuova patch per Ubuntu sono disponibili per la 1.25 e la 1.26.
Se hai già eseguito l'upgrade a una di queste versioni con patch, esegui il downgrade manuale del pool di nodi a una versione precedente nel tuo canale di rilascio. Aggiornamento 14/02/2024: le seguenti versioni di GKE hanno aggiornato con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:
Aggiornamento del 06/02/2024: le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità nel sistema operativo ottimizzato per i container. Per motivi di sicurezza, anche se hai attivato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi con sistema operativo ottimizzato per i container a una delle seguenti versioni GKE o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. Stiamo aggiornando GKE con il codice per correggere questa vulnerabilità. Aggiorneremo bollettino quando sono disponibili le versioni delle patch. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su VMware
Ultimo aggiornamento: 06/03/2024
Descrizione | Gravità |
---|---|
In Che cosa devo fare?Aggiornamento 06/03/2024: le seguenti versioni di GKE on VMware hanno è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o versioni successive:
Le versioni delle patch e una valutazione della gravità per GKE on VMware sono in corso. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su AWS
Ultimo aggiornamento: 06/05/2024
Descrizione | Gravità |
---|---|
In Che cosa devo fare?Aggiornamento 06/05/2024: le seguenti versioni di GKE su AWS hanno è stato aggiornato con le patch per CVE-2024-21626:
Sono in corso le versioni delle patch e una valutazione della gravità per GKE su AWS. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su Azure
Ultimo aggiornamento: 06/05/2024
Descrizione | Gravità |
---|---|
In Che cosa devo fare?Aggiornamento 06/05/2024: le seguenti versioni di GKE su Azure hanno è stato aggiornato con le patch per CVE-2024-21626:
Sono in corso le versioni delle patch e una valutazione della gravità per GKE su Azure. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su Bare Metal
Ultimo aggiornamento: 02/04/2024
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2024-21626, in Che cosa devo fare?Aggiornamento del 02/04/2024: le seguenti versioni di GKE on Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o versioni successive:
Le versioni delle patch e una valutazione della gravità per GKE on Bare Metal sono in corso. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GCP-2024-004
Pubblicato il: 24/01/2024
Aggiornato il: 07/02/2024
Riferimento:
CVE-2023-6817
Aggiornamento 07/02/2024: sono state aggiunte versioni patch per Ubuntu.
GKE
Aggiornamento: 07/02/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 07/02/2024: sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2024-003
Pubblicato: 19/01/2024
Aggiornato: 26/01/2024
Aggiornamento del 26/01/2024: è stato chiarito il numero di cluster interessati e le azioni intraprese per contribuire a mitigare l'impatto.
GKE
Aggiornamento: 26/01/2024
Descrizione | Gravità |
---|---|
Aggiornamento del 26/01/2024: è stata pubblicata una ricerca sulla sicurezza che ha rilevato un numero limitato di
cluster GKE con una configurazione errata creata dal cliente che coinvolge
il gruppo Abbiamo identificato diversi cluster in cui gli utenti hanno concesso i privilegi Kubernetes
al gruppo Di recente, un ricercatore della sicurezza ha riferito i risultati di cluster con RBAC tramite il nostro programma di segnalazione delle vulnerabilità. L'approccio di Google all'autenticazione consiste nel eseguire l'autenticazione su Google Cloud
GKE nel modo più semplice e sicuro possibile senza aggiungere passaggi di configurazione complessi.
L'autenticazione ci comunica semplicemente chi è l'utente. Autorizzazione è
dove viene determinato l'accesso. Pertanto, il gruppo Tenendo presente questo, abbiamo adottato diversi passaggi per ridurre il rischio che gli utenti commisero errori di autorizzazione con gli utenti e i gruppi integrati di Kubernetes, tra cui Per proteggere gli utenti da errori di autorizzazione accidentali con questi sistemi. utenti/gruppi, abbiamo:
I cluster che applicano limitazioni per le reti autorizzate hanno un primo livello di difesa: non possono essere attaccati direttamente da internet. Tuttavia, consigliamo comunque di rimuovere queste associazioni per una difesa in profondità e per proteggerti da errori nei controlli di rete. Stiamo studiando dei modi per proteggerci ulteriormente dalla configurazione errata del RBAC degli utenti con questi utenti/gruppi di sistema tramite prevenzione e rilevamento. Che cosa devo fare?Per impedire eventuali nuove associazioni di Le associazioni esistenti devono essere esaminate seguendo queste indicazioni. |
Media |
GKE su VMware
Nessun aggiornamento al momento.
GKE su AWS
Nessun aggiornamento al momento.
GKE su Azure
Nessun aggiornamento al momento.
GKE su Bare Metal
Nessun aggiornamento al momento.
GCP-2024-002
Pubblicato il: 17/01/2024
Aggiornato il: 20/02/2024
Riferimento:
CVE-2023-6111
Aggiornamento 20/02/2024: sono state aggiunte le versioni patch per GKE su VMware.
GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Ultimo aggiornamento: 20/02/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS.
Che cosa devo fare?Aggiornamento 20/02/2024: le seguenti versioni di GKE su VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o versioni successive: 1.28.100 |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi di Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-051
Pubblicato il 28/12/2023
Riferimento:
CVE-2023-3609
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-050
Pubblicato il 27/12/2023
Riferimento:
CVE-2023-3389
GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard e Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-049
Pubblicato il 20/12/2023
Riferimento:
CVE-2023-3090
GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:
Puoi applicare versioni patch da canali di rilascio più recenti se il cluster viene eseguito lo stesso una versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-048
Pubblicato il 15/12/2023
Ultimo aggiornamento: 21/12/2023
Riferimento:
CVE-2023-3390
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.
GKE
Ultimo aggiornamento: 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. Autopilot di GKE
cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
o impostare esplicitamente il profilo seccomp Unconfined
consenti I cluster GKE Standard e Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-047
Pubblicato il: 14/12/2023
GKE
Descrizione | Gravità |
---|---|
Un malintenzionato che ha compromesso il contenitore di registrazione di Fluent Bit potrebbe combinare questo accesso con i privilegi elevati richiesti da Cloud Service Mesh (sui cluster in cui è stato attivato) per eseguire la riassegnazione dei privilegi nel cluster. I problemi relativi a Fluent Bit Cloud Service Mesh è stato ridotto e sono ora disponibili correzioni. Queste vulnerabilità non sono sfruttabili da soli in GKE e richiedono una compromissione iniziale. Non siamo a conoscenza di casi di sfruttamento di queste vulnerabilità. Questi problemi sono stati segnalati tramite il nostro Vulnerability Reward Program. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice da correggere queste vulnerabilità in Fluent Bit e per gli utenti di Cloud Service Mesh gestito. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE o a una successiva:
Una funzionalità recente dei canali di release consente di applicare una patch senza dover annullare l'iscrizione a un canale. Ciò consente i nodi fino a quando la nuova versione non diventa quella predefinita canale di rilascio Se il tuo cluster utilizza Cloud Service Mesh all'interno del cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):
Quali vulnerabilità vengono affrontate da questa patch? Le vulnerabilità affrontate da questo bollettino richiedono che un aggressore comprometta Container di logging dei bit fluido. Non siamo a conoscenza di vulnerabilità esistenti in Fluent Bit che potrebbero portare a questa condizione di prerequisito per la riassegnazione dei privilegi. Abbiamo corretto queste vulnerabilità come misure di rafforzamento per evitare una potenziale catena di attacchi completa in futuro GKE utilizza Fluent Bit per elaborare i log dei carichi di lavoro in esecuzione sui cluster. Fluent Bit su GKE è stato configurato anche per raccogliere i log per i carichi di lavoro Cloud Run. Il montaggio del volume configurato per raccogliere questi log ha fornito Accesso in bit fluido ai token degli account di servizio Kubernetes per gli altri pod in esecuzione nodo. Il ricercatore ha usato questo accesso per scoprire un account di servizio con privilegi elevati per i cluster in cui Cloud Service Mesh è abilitato. Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie a un configurazione del cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi per eseguire la riassegnazione dei privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster Abbiamo rimosso l'accesso di Fluent Bit ai token dell'account di servizio e abbiamo redesignato la funzionalità di Cloud Service Mesh per rimuovere i privilegi in eccesso. |
Media |
GKE su VMware
Descrizione | Gravità |
---|---|
Sono interessati solo i cluster GKE su VMware che utilizzano Cloud Service Mesh. Che cosa devo fare?Se il tuo cluster utilizza Cloud Service Mesh all'interno del cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):
Quali vulnerabilità vengono affrontate da questa patch?Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato compromettere o altrimenti uscire da un container o avere accesso root su un nodo cluster. Me non sono a conoscenza di vulnerabilità esistenti che porterebbero a questo prerequisito per l'escalation dei privilegi. Abbiamo corretto queste vulnerabilità come misure di rafforzamento per evitare una potenziale catena di attacchi completa in futuro. Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie a un configurazione del cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per eseguire la riassegnazione dei suoi privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster. Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi. |
Media |
GKE su AWS
Descrizione | Gravità |
---|---|
È interessato solo GKE su cluster AWS che utilizzano Cloud Service Mesh. Che cosa devo fare?Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire l'upgrade manuale in una delle seguenti versioni (note di rilascio):
Quali vulnerabilità vengono affrontate da questa patch?Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato compromettere o altrimenti uscire da un container o avere accesso root su un nodo cluster. Stiamo non è a conoscenza di vulnerabilità esistenti che porterebbero a questa condizione di prerequisito per l'escalation dei privilegi. Abbiamo applicato patch a queste vulnerabilità come misure di rafforzamento per evitare una potenziale catena di attacchi completa in futuro. Cloud Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per eseguire la riassegnazione dei suoi privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster. Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi. |
Media |
GKE su Azure
Descrizione | Gravità |
---|---|
Sono interessati solo i cluster GKE su Azure che utilizzano Cloud Service Mesh. Che cosa devo fare?Se il tuo cluster utilizza Cloud Service Mesh all'interno del cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):
Quali vulnerabilità vengono affrontate da questa patch?Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato compromettere o altrimenti uscire da un container o avere accesso root su un nodo cluster. Non siamo a conoscenza di vulnerabilità esistenti che potrebbero portare a questa condizione obbligatoria per la riassegnazione dei privilegi. Abbiamo applicato patch a queste vulnerabilità come misure di rafforzamento per evitare una potenziale catena di attacchi completa in futuro. Cloud Service Mesh necessitava di privilegi elevati per apportare le modifiche necessarie a un configurazione del cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per riassegnare privilegi iniziali compromessi creando un nuovo pod con privilegi cluster-admin. Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi. |
Media |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Sono interessati solo i cluster GKE on Bare Metal che utilizzano Cloud Service Mesh. Che cosa devo fare?Se il cluster utilizza Cloud Service Mesh nel cluster, devi eseguire l'upgrade manuale a una delle seguenti versioni (note di rilascio):
Quali vulnerabilità vengono affrontate da questa patch?Le vulnerabilità affrontate da questo bollettino richiedono che un utente malintenzionato compromettere o altrimenti uscire da un container o avere accesso root su un nodo cluster. Non siamo a conoscenza di vulnerabilità esistenti che potrebbero portare a questa condizione obbligatoria per la riassegnazione dei privilegi. Abbiamo applicato patch a queste vulnerabilità come misure di rafforzamento per evitare una potenziale catena di attacchi completa in futuro. Anthos Service Mesh richiedeva privilegi elevati per apportare le modifiche necessarie alla configurazione di un cluster, inclusa la possibilità di creare ed eliminare pod. Il ricercatore ha utilizzato il token dell'account di servizio Kubernetes con privilegi di Cloud Service Mesh per eseguire la riassegnazione dei suoi privilegi compromessi iniziali creando un nuovo pod con privilegi di amministratore del cluster. Abbiamo riprogettato la funzionalità di Cloud Service Mesh per rimuovere i privilegi eccessivi. |
Media |
GCP-2023-046
Pubblicato il: 22/11/2023
Aggiornamento: 04/03/2024
Riferimento:
CVE-2023-5717
Aggiornamento 04/03/2024: aggiunte le versioni GKE per GKE su VMware.
Aggiornamento 22/01/2024: aggiunte le versioni patch di Ubuntu.
GKE
Ultimo aggiornamento: 22/01/2024
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Sono interessati i cluster GKE Standard e Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 22/01/2024: sono interessate le seguenti versioni minori. Esegui l'upgrade del tuo Pool di nodi Ubuntu in una delle seguenti versioni di patch o versioni successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni di patch o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Ultimo aggiornamento: 29/02/2024
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Aggiornamento 04/03/2024: le seguenti versioni di GKE on VMware vengono aggiornati con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o versioni successive:
|
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-045
Pubblicato il: 20/11/2023
Aggiornato il: 21/12/2023
Riferimento:
CVE-2023-5197
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.
GKE
Ultimo aggiornamento: 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot
i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE
cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
o impostare esplicitamente il profilo seccomp Unconfined
consenti I cluster GKE Standard e Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:
Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni patch o successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi fino a quando la versione della patch non diventa predefinita nel canale di rilascio. Per maggiori dettagli, vedi Eseguire le versioni con patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-042
Pubblicato il: 13/11/2023
Aggiornato il: 15/11/2023
Riferimento:
CVE-2023-4147
Aggiornamento del 15/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.
GKE
Ultimo aggiornamento: 15/11/2023
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
I cluster GKE Standard ne sono interessati. I cluster GKE Autopilot non sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 15/11/2023: devi eseguire solo l'upgrade a una delle versioni con patch elencate in questo bollettino se utilizzi questa versione secondaria nei tuoi nodi. Ad esempio, se utilizzi la versione 1.27 di GKE, devi eseguire l'upgrade alla versione corretta con patch. Tuttavia, se utilizzi la versione 1.24 di GKE, non è necessario eseguire l'upgrade a una versione con patch. Esegui l'upgrade del tuo Pool di nodi di Container-Optimized OS in una delle seguenti versioni o versioni successive:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:
Puoi applicare le versioni delle patch dei canali di rilascio più recenti se il tuo cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi la versione con patch diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Esegui le versioni delle patch da un canale più recente. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-041
Pubblicato il 08/11/2023
Ultimo aggiornamento: 21/11/2023, 05/12/2023, 21/12/2023
Riferimento:
CVE-2023-4004
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento 05/12/2023 : sono state aggiunte ulteriori versioni GKE per i pool di nodi di Container-Optimized OS.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Ultimo aggiornamento: 21/11/2023, 05/12/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot
nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
imposti esplicitamente il profilo seccomp Unconfined o
consenti Sono interessati i cluster Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 05/12/2023: alcune versioni di GKE non erano precedentemente disponibili. Di seguito è riportato un elenco aggiornato delle versioni GKE a cui puoi eseguire l'upgrade del sistema operativo ottimizzato per i container:
Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-040
Pubblicato il: 06/11/2023
Aggiornato il: 21/11/2023, 21/12/2023
Riferimento:
CVE-2023-4921
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Aggiornamento: 21/11/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot
nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
imposti esplicitamente il profilo seccomp Unconfined o
consenti I cluster Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-039
Pubblicato il 06/11/2023
Ultimo aggiornamento: 21/11/2023, 16/11/2023
Riferimento:
CVE-2023-4622
Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
Aggiornamento 16-11-2023: la vulnerabilità associata a questo bollettino sulla sicurezza è CVE-2023-4622. CVE-2023-4623 è stata elencata erroneamente come vulnerabilità in una versione precedente del bollettino sulla sicurezza.
GKE
Aggiornamento: 21/11/2023, 16/11/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Sono interessati i cluster Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:
|
Alta |
GKE su VMware
Ultimo aggiornamento: 16/11/2023
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Ultimo aggiornamento: 16/11/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Ultimo aggiornamento: 16/11/2023
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Ultimo aggiornamento: 16/11/2023
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-038
Pubblicato il: 06/11/2023
Aggiornato il: 21/11/2023, 21/12/2023
Riferimento:
CVE-2023-4623
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Aggiornamento: 21/11/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot
i cluster sono interessati, ma questo errore non è corretto. I cluster GKE Autopilot
nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
imposti esplicitamente il profilo seccomp Unconfined o
consenti Sono interessati i cluster Autopilot. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 21/11/2023: devi eseguire l'upgrade a una delle versioni di patch elencate in questo bollettino solo se utilizzi quella versione secondaria nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-037
Pubblicato il 06/11/2023
Ultimo aggiornamento: 21/11/2023, 21/12/2023
Riferimento:
CVE-2023-4015
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Aggiornamento: 21/11/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot
nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
imposti esplicitamente il profilo seccomp Unconfined o
consenti I cluster Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o a una versione successiva:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
In attesa |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non raggruppa un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2023-035
Pubblicato: 26/10/2023
Aggiornato: 21/11/2023, 21/12/2023
Riferimento:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.
Aggiornamento 21/11/2023: chiarisci che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Aggiornamento: 21/11/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot
i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE
cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
o impostare esplicitamente il profilo seccomp Unconfined
consenti I cluster Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi di Container-Optimized OS a una delle seguenti versioni o a una versione successiva:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione. |
Alta |
GCP-2023-033
Pubblicato il: 24/10/2023
Aggiornato il: 21/11/2023, 21/12/2023
Riferimento:
CVE-2023-3777
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita e i carichi di lavoro GKE Sandbox non sono interessati.
Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione patch corrispondente per GKE.
GKE
Aggiornamento: 21/11/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot
nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se impostate esplicitamente il profilo seccomp Unconfined o se
consentite I cluster Autopilot sono interessati. I cluster che utilizzano GKE Sandbox sono interessati. Che cosa devo fare?Aggiornamento del 21/11/2023: devi eseguire l'upgrade a una delle versioni con patch elencate in questo bollettino solo se utilizzi la versione minore nei tuoi nodi. Le versioni secondarie non elencate non sono interessate. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni o versioni successive:
Esegui l'upgrade dei pool di nodi Ubuntu a una delle seguenti versioni o versioni successive:
|
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare? |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono generare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.
Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE on Bare Metal non è interessato perché non include un sistema operativo nella distribuzione. |
GCP-2023-030
Pubblicato il: 10/10/2023
Aggiornamento: 20/03/2024
Riferimento: CVE-2023-44487CVE-2023-39325
Aggiornamento 20/03/2024: sono state aggiunte le versioni delle patch per GKE su AWS e GKE su Azure
Aggiornamento del 14/02/2024: sono state aggiunte le versioni patch
per GKE su VMware
Aggiornamento 09/11/2023: è stato aggiunto CVE-2023-39325. Versioni GKE aggiornate
con le ultime patch per CVE-2023-44487 e CVE-2023-39325.
GKE
Ultimo aggiornamento: 09/11/2023
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma tutti gli altri cluster sono interessati. Che cosa devo fare?Aggiornamento 09/11/2023: abbiamo rilasciato nuove versioni di GKE che includono le patch di sicurezza Go e Kubernetes, ora puoi aggiornare i tuoi cluster. Nelle prossime settimane rilasceremo modifiche al piano di controllo GKE per mitigare ulteriormente il problema. Le seguenti versioni di GKE sono state aggiornate con patch per CVE-2023-44487 e CVE-2023-39325:
Ti consigliamo di applicare la seguente mitigazione il prima possibile ed eseguire l'upgrade alla versione più recente con patch, se disponibile. Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e convalideremo un nuovo server API Kubernetes con queste patch e pubblicheremo una release di GKE con patch. Una volta che la release di GKE sarà disponibile, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo e renderemo visibili le patch all'interno della postura di sicurezza di GKE, se disponibili per il tuo cluster. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale, abilita le notifiche del cluster. Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Evita il problema configurando le reti autorizzate per l'accesso al control plane: Puoi aggiungere reti autorizzate per i cluster esistenti. Per scoprire di più, consulta la sezione Rete autorizzata per i cluster esistenti. Oltre alle reti autorizzate che aggiungi, esistono indirizzi IP preimpostati che possono accedere al control plane di GKE. Per scoprire di più su questi indirizzi, vedi Accedere agli endpoint del control plane. I seguenti elementi riepilogano l'isolamento del cluster:
Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo GKE. |
Alta |
GKE su VMware
Ultimo aggiornamento: 14/02/2024
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE on VMware crea cluster Kubernetes che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità. Che cosa devo fare?Aggiornamento del 14/02/2024: le seguenti versioni di GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni delle patch o versioni successive:
Se hai configurato i cluster Kubernetes di GKE on VMware in modo da avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare l'accesso. Ti consigliamo di eseguire l'upgrade alla versione patch più recente, se disponibile, il prima possibile. Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e convalideremo un nuovo server API Kubernetes con queste patch e pubblicheremo una release di GKE con patch. Una volta che la release di GKE sarà disponibile, aggiorneremo questo bollettino con indicazioni su quale versione eseguire l'upgrade del piano di controllo. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un DoS del piano di controllo Kubernetes. GKE su AWS crea cluster Kubernetes privati che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità. Che cosa devo fare?Aggiornamento 20/03/2024: le seguenti versioni di GKE su AWS sono state aggiornate con le patch per CVE-2023-44487:
Se hai configurato GKE su AWS per avere accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare questo accesso. Ti consigliamo di eseguire l'upgrade alla versione patch più recente, se disponibile, il prima possibile. Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e convalideremo un nuovo server API Kubernetes con queste patch e pubblicheremo una release di GKE con patch. Una volta che la release di GKE sarà disponibile, aggiorneremo questo bollettino con indicazioni su quale versione eseguire l'upgrade del piano di controllo. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo Kubernetes. GKE su Azure crea cluster Kubernetes privati che non sono direttamente accessibili su internet per impostazione predefinita e sono protetti da questa vulnerabilità. Che cosa devo fare?Aggiornamento del 20/03/2024: le seguenti versioni di GKE su Azure sono state aggiornate con le patch per CVE-2023-44487:
Se hai configurato i tuoi cluster GKE su Azure in modo che abbiano accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore della firewall per bloccare o limitare questo accesso. Ti consigliamo di eseguire l'upgrade alla versione patch più recente, se disponibile, il prima possibile. Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e convalideremo un nuovo server API Kubernetes con queste patch e pubblicheremo una release di GKE con patch. Una volta disponibile la release di GKE, aggiorneremo questo bollettino con indicazioni sulla versione a cui eseguire l'upgrade del piano di controllo.Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo Kubernetes. Anthos on Bare Metal crea cluster Kubernetes che non sono direttamente accessibili a internet per impostazione predefinita e sono protetti da questa vulnerabilità. Che cosa devo fare?Se hai configurato i cluster Kubernetes Anthos on Bare Metal in modo che abbiano accesso diretto a internet o ad altre reti non attendibili, ti consigliamo di collaborare con l'amministratore del firewall per bloccare o limitare l'accesso. Per saperne di più, consulta la panoramica sulla sicurezza di GKE on Bare Metal. Ti consigliamo di eseguire l'upgrade alla versione più recente della patch, se disponibile, il prima possibile. Le patch di Golang verranno rilasciate il 10 ottobre. Una volta disponibili, creeremo e convalideremo un nuovo server API Kubernetes con queste patch e pubblicheremo una release di GKE con patch. Una volta che la release di GKE sarà disponibile, aggiorneremo questo bollettino con indicazioni su quale versione eseguire l'upgrade del piano di controllo. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-44487, consente a un utente malintenzionato di eseguire un attacco denial-of-service sui nodi del piano di controllo Kubernetes. |
Alta |
GCP-2023-026
Pubblicato il 06/09/2023
Riferimento: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
Descrizione | Gravità |
---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes. I cluster GKE sono interessati solo se includono nodi Windows. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, di consigliarti eseguire l'upgrade manuale cluster e pool di nodi in una delle seguenti versioni di GKE:
Il piano di controllo GKE verrà aggiornato la settimana del 4/09/2023 per aggiornare
csi-proxy alla versione 1.1.3. Se aggiorni i nodi prima dell'aggiornamento del piano di controllo,
dovrai aggiornare di nuovo i nodi dopo l'aggiornamento per sfruttare le nuove
proxy. Puoi aggiornare nuovamente i nodi, anche senza modificarne la versione, eseguendo
il comando Una funzionalità recente dei canali di release consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questo consente di proteggere i nodi finché la nuova versione non diventa quella predefinita canale di rilascio. Quali vulnerabilità vengono affrontate da questa patch?Con la vulnerabilità CVE-2023-3676, un utente malintenzionato potrebbe creare una specifica del pod con stringhe di percorso dell'host che contengono comandi PowerShell. Kubelet non dispone della sanitizzazione dell'input e passa questa stringa del percorso creata dall'utente all'eseguitore dei comandi come argomento, dove eseguirà parti della stringa come comandi separati. Questi comandi vengono eseguiti con lo stesso ruolo i privilegi di Kubelet. Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice allo stesso livello di autorizzazione dell'agente Kubelet, ovvero autorizzazioni privilegiate. Con CVE-2023-3893, una simile mancanza di sanitizzazione degli input consente a un utente che può creare pod Nodi Windows che eseguono kubernetes-csi-proxy per riassegnarli ai privilegi amministrativi sui nodi. Gli audit log di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Pod creare eventi con i comandi PowerShell incorporati sono una forte indicazione dello sfruttamento. oggetti ConfigMap e Secret che contengono comandi PowerShell incorporati e sono montati in I pod sono inoltre un forte indicatore di sfruttamento. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) che consentono a un utente che può creare pod su nodi Windows di eseguire l'escalation ai privilegi amministrativi su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes. I cluster sono interessati solo se includono nodi Windows. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Con la vulnerabilità CVE-2023-3676, un utente malintenzionato potrebbe creare una specifica del pod con stringhe di percorso dell'host che contengono comandi PowerShell. Il kubelet non dispone della sanificazione degli input e lo supera di percorso all'esecutore di comando come argomento per eseguire parti della come comandi separati. Questi comandi verranno eseguiti con gli stessi privilegi amministrativi di Kubelet. Con CVE-2023-3955, Kubelet concede agli utenti che possono creare pod la possibilità di eseguire codice dello stesso livello di autorizzazione dell'agente kubelet, con autorizzazioni con privilegi. Con CVE-2023-3893, una simile mancanza di sanitizzazione degli input consente a un utente che può creare pod Nodi Windows che eseguono kubernetes-csi-proxy per riassegnarli ai privilegi amministrativi sui nodi. I log di controllo di Kubernetes possono essere utilizzati per rilevare se questa vulnerabilità viene sfruttata. Pod creare eventi con i comandi PowerShell incorporati sono una forte indicazione dello sfruttamento. Anche i ConfigMap e i secret che contengono comandi PowerShell incorporati e sono montati nei pod sono un'indicazione forte di sfruttamento. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) che consentono a un utente che può creare pod su nodi Windows di eseguire l'escalation ai privilegi amministrativi su questi nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes. Che cosa devo fare?GKE su AWS non è interessato da queste CVE. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes. Che cosa devo fare?GKE su Azure non è interessato da queste CVE. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes. Che cosa devo fare?GKE on Bare Metal non è interessato da queste CVE. Non è richiesta alcuna azione da parte tua. |
Nessuno |
GCP-2023-018
Pubblicato il: 27/06/2023
Riferimento: CVE-2023-2235
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati perché i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. I cluster GKE Standard con versioni 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS sono interessati. I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, versioni precedenti alla 1.25 o GKE Sandbox. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i tuoi nodi fino a quando la nuova versione non diventa predefinita per il canale specifico della release. Quali vulnerabilità vengono affrontate?Con CVE-2023-2235, la funzione perf_group_detach non controllava lo stato attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec consentiva di chiamare list_del_event() prima di scollegarsi dal gruppo, il che rendeva possibile l'utilizzo di un puntatore inutilizzato che causava una vulnerabilità di tipo use-after-free. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2235) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on VMware sono interessati. Che cosa devo fare?Quali vulnerabilità vengono affrontate?Con CVE-2023-2235, la funzione perf_group_detach non controllava lo stato attach_state dei fratelli dell'evento prima di chiamare add_event_to_groups(), ma remove_on_exec consentiva di chiamare list_del_event() prima di scollegarsi dal gruppo, il che rendeva possibile l'utilizzo di un puntatore inutilizzato che causava una vulnerabilità di tipo use-after-free. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. La risorsa è interessata da GKE su cluster AWS. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2023-2235, la funzione perf_group_Scollega non controllava gli elementi di pari livello dell'evento link_state prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore pendente che causa una vulnerabilità use-after-free. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE su Azure sono interessati. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2023-2235, la funzione perf_group_Scollega non controllava gli elementi di pari livello dell'evento link_state prima di chiamare add_event_to_groups(), ma remove_on_exec ha permesso di chiamare list_del_event() prima di scollegarsi dal gruppo, consentendo di utilizzare un puntatore pendente che causa una vulnerabilità use-after-free. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. Google Distributed Cloud Virtual for Bare Metal non è interessato da questa CVE. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. |
Nessuno |
GCP-2023-017
Pubblicato il: 26/06/2023
Aggiornamento: 11/07/2023
Riferimento: CVE-2023-31436
Aggiornamento dell'11/07/2023: le nuove versioni GKE sono state aggiornate per includere le ultime versioni di Ubuntu con le patch CVE-2023-31436.
GKE
Aggiornamento: 11/07/2023
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento del 11/07/2023: sono disponibili le versioni con patch per Ubuntu. Le seguenti versioni di GKE sono state aggiornate per includere le versioni Ubuntu più recenti che correggono la vulnerabilità CVE-2023-31436:
Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Quali vulnerabilità vengono affrontate?Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questa falla consente a un utente locale di arrestare il sistema o potenzialmente di eseguire l'escalation dei propri privilegi sul sistema. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE on VMware sono interessati. Che cosa devo fare?Quali vulnerabilità vengono affrontate?Con CVE-2023-31436, è stato rilevato un difetto di accesso alla memoria fuori dai limiti nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questa falla consente a un utente locale di arrestare il sistema o potenzialmente di eseguire l'escalation dei propri privilegi sul sistema. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. La risorsa è interessata da GKE su cluster AWS. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2023-31436 è stato rilevato un difetto di accesso alla memoria fuori limite nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questa falla consente a un utente locale di arrestare il sistema o potenzialmente di eseguire l'escalation dei propri privilegi sul sistema. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-31436) nel kernel Linux che può portare a un'escalation dei privilegi sul nodo. I cluster GKE su Azure sono interessati. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2023-31436 è stato rilevato un difetto di accesso alla memoria fuori limite nel sottosistema di controllo del traffico (QoS) del kernel Linux nel modo in cui un utente attiva la funzione qfq_change_class con un valore MTU errato del dispositivo di rete utilizzato come lmax. Questa falla consente a un utente locale di arrestare il sistema o potenzialmente di eseguire l'escalation dei propri privilegi sul sistema. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. |
Nessuno |
GCP-2023-016
Pubblicato il: 26/06/2023
Riferimento:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
CVE-2023-27491,
CVE-2023-27487
GKE
Descrizione | Gravità |
---|---|
Sono state scoperte diverse vulnerabilità in Envoy, che viene utilizzato in Cloud Service Mesh (ASM). Questi valori sono stati segnalati separatamente come GCP-2023-002. GKE non viene fornito con ASM e non è interessato da queste vulnerabilità. Che cosa devo fare?Se hai installato separatamente ASM per i tuoi cluster GKE, consulta GCP-2023-002. |
Nessuno |
GKE su VMware
Descrizione | Gravità |
---|---|
In Envoy, che viene utilizzato in Cloud Service Mesh in GKE su VMware, sono state scoperte diverse vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) che consentono a un malintenzionato di provocare un denial of service o un arresto anomalo di Envoy. Questi problemi sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che i clienti di GKE Enterprise aggiornino le versioni che includono ASM. Che cosa devo fare?Le seguenti versioni di GKE on VMware sono state aggiornate con il codice per risolvere questo problema vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato e esposto, viene restituito l'utente potrebbe creare una richiesta che potrebbe causare un denial of service causando l'arresto anomalo di Envoy. CVE-2023-27488: gli attaccanti possono utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz. CVE-2023-27493: la configurazione di Envoy deve includere anche un’opzione per aggiungere intestazioni delle richieste generati utilizzando gli input della richiesta, ad esempio la SAN del certificato peer. CVE-2023-27492: gli aggressori possono inviare grandi organismi di richiesta per route con filtro Lua e attivare arresti anomali. CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 create appositamente attivare gli errori di analisi sul servizio upstream HTTP/1.
CVE-2023-27487: l'intestazione |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
In Envoy, utilizzato in Cloud Service Mesh, sono state scoperte diverse vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487). Questi valori sono stati segnalati separatamente come GCP-2023-002. GKE su AWS non viene fornito con ASM e non è interessato. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
Una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, le CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), sono state scoperte in Envoy, viene utilizzato in Cloud Service Mesh. Questi valori sono stati segnalati separatamente come GCP-2023-002. GKE su Azure non viene fornito con ASM e non è interessato. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Una serie di vulnerabilità (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, le CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), sono state scoperte in Envoy, viene utilizzato in Cloud Service Mesh in GKE on Bare Metal, che consente un attacco un utente malintenzionato può causare un attacco denial of service o un arresto anomalo di Envoy. Questi valori sono stati segnalati separatamente come GCP-2023-002, ma vogliamo assicurarci che I clienti di GKE Enterprise aggiornano le proprie versioni che includono ASM. Che cosa devo fare?Le seguenti versioni di GKE on Bare Metal sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on Bare Metal:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato e esposto, viene restituito l'utente potrebbe creare una richiesta che potrebbe causare un denial of service causando l'arresto anomalo di Envoy. CVE-2023-27488: gli attaccanti possono utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz. CVE-2023-27493: la configurazione di Envoy deve includere anche un’opzione per aggiungere intestazioni delle richieste generati utilizzando gli input della richiesta, ad esempio la SAN del certificato peer. CVE-2023-27492: gli aggressori possono inviare grandi organismi di richiesta per route con filtro Lua e attivare arresti anomali. CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 create appositamente attivare gli errori di analisi sul servizio upstream HTTP/1.
CVE-2023-27487: l'intestazione |
Alta |
GCP-2023-015
Pubblicato: 20/06/2023
Riferimento: CVE-2023-0468
GKE
Descrizione | Gravità |
---|---|
Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può causare un denial of service sul nodo. Sono interessati i cluster GKE, inclusi i cluster Autopilot. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il canale specifico di rilascio. Quali vulnerabilità vengono affrontate?In CVE-2023-0468 è stato rilevato un difetto di uso dopo svuotamento in io_uring/poll.c in io_poll_check_events nel sottocomponente io_uring del kernel Linux. Questo difetto potrebbe causare un dereferenziamento del puntatore NULL e potenzialmente un arresto anomalo del sistema che potrebbe portare a un Denial of Service. |
Media |
GKE su VMware
Descrizione | Gravità |
---|---|
Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo. GKE on VMware utilizza la versione 5.4 del kernel di Linux e non è interessato da questa CVE. Che cosa devo fare?
|
Nessuno |
GKE su AWS
Descrizione | Gravità |
---|---|
Una nuova vulnerabilità (CVE-2023-0468) è stata scoperta nella versione 5.15 del kernel Linux che può portare a un denial of service sul nodo. GKE su AWS non è interessato da questa CVE. Che cosa devo fare?
|
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può causare un denial of service sul nodo. GKE su Azure non è interessato da questa CVE. Che cosa devo fare?
|
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nella versione 5.15 del kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-0468) che può causare un denial of service sul nodo. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE. Che cosa devo fare?
|
Nessuno |
GCP-2023-014
Pubblicato il 15/06/2023
Ultimo aggiornamento: 11/08/2023
Riferimento: CVE-2023-2727, CVE-2023-2728
Aggiornamento del 11/08/2023: sono state aggiunte le versioni delle patch per GKE su VMware, GKE su AWS, GKE su Azure e GKE on Bare Metal
GKE
Descrizione | Gravità |
---|---|
In Kubernetes sono stati scoperti due nuovi problemi di sicurezza in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e sia ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728). GKE non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727. Tutte le versioni di GKE sono potenzialmente vulnerabili a CVE-2023-2728.Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale di rilascio specifico. Quali vulnerabilità vengono affrontate?Con la vulnerabilità CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni. In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:
|
Media |
GKE su VMware
Ultimo aggiornamento: 11/08/2023
Descrizione | Gravità |
---|---|
Sono stati scoperti due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e sia ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728) Anthos su VMware non utilizza ImagePolicyWebhook e non è interessato da CVE-2023-2727. Tutte le versioni di Anthos su VMware sono potenzialmente vulnerabili a CVE-2023-2728. Che cosa devo fare?Aggiornamento dell'11/08/2023: le seguenti versioni di GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate?Con la vulnerabilità CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni. In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:
|
Media |
GKE su AWS
Ultimo aggiornamento: 11/08/2023
Descrizione | Gravità |
---|---|
Sono stati scoperti due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e tramite ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728) Che cosa devo fare?Aggiornamento dell'11/08/2023: la seguente versione di GKE su AWS è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione di GKE su AWS:
Quali vulnerabilità vengono affrontate?Con la vulnerabilità CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni. In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:
|
Media |
GKE su Azure
Ultimo aggiornamento: 11/08/2023
Descrizione | Gravità |
---|---|
Sono stati scoperti due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e tramite ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728) Che cosa devo fare?Aggiornamento del 11/08/2023: la seguente versione di GKE su Azure è stata aggiornata con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi alla seguente versione di GKE su Azure:
Quali vulnerabilità vengono affrontate?Con la vulnerabilità CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni. In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:
|
Media |
GKE su Bare Metal
Ultimo aggiornamento: 11/08/2023
Descrizione | Gravità |
---|---|
Sono stati scoperti due nuovi problemi di sicurezza in Kubernetes in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e tramite ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728) Che cosa devo fare?Aggiornamento del 11/08/2023: le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei nodi a una delle seguenti versioni di Google Distributed Cloud Virtual for Bare Metal:
Quali vulnerabilità vengono affrontate?Con la vulnerabilità CVE-2023-2727, gli utenti potrebbero essere in grado di avviare container utilizzando immagini limitate da ImagePolicyWebhook quando utilizzano container temporanei. I cluster Kubernetes sono interessati solo se il plug-in di ammissione ImagePolicyWebhook viene utilizzato insieme ai container temporanei. Questo CVE può essere mitigato anche utilizzando webhook di convalida, come Gatekeeper e Kyverno, per applicare le stesse restrizioni. In CVE-2023-2728, gli utenti potrebbero essere in grado di avviare container che ignorano il criterio dei secret montabili applicato dal plug-in di ammissione ServiceAccount quando utilizzano i container temporanei. Il criterio garantisce che i pod in esecuzione con un account di servizio possano fare riferimento solo ai secret specificati nel campo dei secret dell'account di servizio. I cluster sono interessati da questa vulnerabilità se:
|
Media |
GCP-2023-009
Pubblicato il: 06/06/2023
Riferimento: CVE-2023-2878
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token degli account di servizio. Questi token potrebbero quindi essere scambiati con fornitori di cloud esterni per accedere ai secret archiviati nelle soluzioni cloud Vault. GKE non è interessato da questa CVE. Che cosa devo fare?Anche se GKE non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere scambiati con fornitori di cloud esterni per accedere ai secret archiviati nelle soluzioni cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per essere eseguito a livello di log 2 o superiore tramite il flag -v. |
Nessuno |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) nel driver secrets-store-csi, in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. GKE on VMware non è interessato da questo CVE. Che cosa devo fare?Anche se GKE su VMware non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere scambiati con fornitori di cloud esterni per accedere ai secret archiviati nelle soluzioni cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per l'esecuzione a livello di log 2 o superiore tramite il flag -v. |
Nessuno |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) nel driver secrets-store-csi, in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. GKE su AWS non è interessato da questa CVE. Che cosa devo fare?Anche se GKE su AWS non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere scambiati con fornitori di cloud esterni per accedere ai secret archiviati nelle soluzioni cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per l'esecuzione a livello di log 2 o superiore tramite il flag -v. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) nel driver secrets-store-csi, in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio. Questi token potrebbero quindi essere scambiati con fornitori di cloud esterni per accedere ai secret archiviati nelle soluzioni cloud Vault. GKE su Azure non è interessato da questa CVE Che cosa devo fare?Anche se GKE su Azure non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare la tua installazione con una versione con patch. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere scambiati con fornitori di cloud esterni per accedere ai secret archiviati nelle soluzioni cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per l'esecuzione a livello di log 2 o superiore tramite il flag -v. |
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2023-2878) in secrets-store-csi-driver dove un utente con accesso ai log del driver potrebbe osservare i token degli account di servizio. Questi token potrebbero quindi essere potenzialmente scambiati con provider cloud esterni per accedere ai secret archiviati nelle soluzioni di Cloud Vault. GKE on Bare Metal non è interessato da questo CVE. Che cosa devo fare?Anche se GKE on Bare Metal non è interessato, se hai installato il componente secrets-store-csi-driver, devi aggiornare l'installazione con una versione con patch. Quali vulnerabilità vengono affrontate da questa patch?La vulnerabilità, CVE-2023-2878, è stata scoperta in secrets-store-csi-driver, dove un utente con accesso ai log del driver poteva osservare i token degli account di servizio. Questi token potrebbero quindi essere scambiati con fornitori di cloud esterni per accedere ai secret archiviati nelle soluzioni cloud Vault. I token vengono registrati solo quando TokenRequests è configurato nell'oggetto CSIDriver e il driver è impostato per l'esecuzione a livello di log 2 o superiore tramite il flag -v. |
Nessuno |
GCP-2023-008
Pubblicato il 05/06/2023
Riferimento: CVE-2023-1872
GKE
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi a root sul nodo. I cluster GKE Standard e Autopilot sono interessati. I cluster che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i tuoi nodi fino a quando la nuova versione non diventa predefinita per il canale specifico della release. Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-1872 è una vulnerabilità di tipo use-after-free nel sottosistema io_uring del kernel Linux che può essere sfruttata per eseguire l'escalation dei privilegi locali. La funzione |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi a root sul nodo. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-1872 è una vulnerabilità di tipo use-after-free nel sottosistema io_uring del kernel Linux che può essere sfruttata per eseguire l'escalation dei privilegi locali. La funzione |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi a root sul nodo. Che cosa devo fare?Le seguenti versioni di GKE su AWS sono state aggiornate con codice per correggere queste vulnerabilità: Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-1872 è una vulnerabilità di tipo use-after-free nel sottosistema io_uring del kernel Linux che può essere sfruttata per eseguire l'escalation dei privilegi locali. La funzione |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi a root sul nodo. Che cosa devo fare?Le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità: Quali vulnerabilità vengono affrontate da questa patch?CVE-2023-1872 è una vulnerabilità di tipo use-after-free nel sottosistema io_uring del kernel Linux che può essere sfruttata per eseguire l'escalation dei privilegi locali. La funzione |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2023-1872) che può portare a un'escalation dei privilegi a root sul nodo. GKE on Bare Metal non è interessato da questa CVE. Che cosa devo fare?Non occorre alcun intervento. |
Nessuno |
GCP-2023-005
Pubblicato il 18/05/2023
Ultimo aggiornamento: 06/06/2023
Riferimento: CVE-2023-1281, CVE-2023-1829
Aggiornamento del 06/06/2023: le nuove versioni di GKE sono state aggiornate per includere le versioni più recenti di Ubuntu che applicano patch a CVE-2023-1281 e CVE-2023-1829.
GKE
Ultimo aggiornamento: 06/06/2023
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a un'escalation dei privilegi a root sul nodo. I cluster GKE Standard sono interessati. ai cluster GKE Autopilot GKE Sandbox non è interessato. Che cosa devo fare?Aggiornamento del 06/06/2023: sono disponibili le versioni con patch di Ubuntu. Le seguenti versioni di GKE sono state aggiornate per includere le versioni più recenti di Ubuntu che correggono le vulnerabilità CVE-2023-1281 e CVE-2023-1829:
Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i tuoi nodi fino a quando la nuova versione non diventa predefinita per il canale specifico della release. Quali vulnerabilità vengono affrontate da questa patch?Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità use-after-free nel filtro dell’indice di controllo del traffico del kernel Linux (tcindex) che possono essere sfruttate per ottenere escalation dei privilegi locali. Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in alcuni casi, il che può portare in seguito a una doppia liberazione di una struttura di dati. Nella vulnerabilità CVE-2023-1281, l'area di hash imperfetta può essere aggiornata durante il transito dei pacchetti, causando un uso dopo svuotamento quando viene chiamato |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a un'escalation dei privilegi a root sul nodo. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità use-after-free nel filtro dell'indice di controllo del traffico (tcindex) del kernel Linux che possono essere sfruttate per eseguire l'escalation dei privilegi locali. Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in alcuni casi, il che può portare in seguito a una doppia liberazione di una struttura di dati. Nella vulnerabilità CVE-2023-1281, l'area di hash imperfetta può essere aggiornata durante il transito dei pacchetti, causando un uso dopo svuotamento quando viene chiamato |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità use-after-free nel filtro dell'indice di controllo del traffico (tcindex) del kernel Linux che possono essere sfruttate per eseguire l'escalation dei privilegi locali. Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in alcuni casi, il che può portare in seguito a una doppia liberazione di una struttura di dati. Nella vulnerabilità CVE-2023-1281, l'area di hash imperfetta può essere aggiornata durante il transito dei pacchetti, causando un uso dopo svuotamento quando viene chiamato |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a un'escalation dei privilegi a root sul nodo. Che cosa devo fare?Quali vulnerabilità vengono affrontate da questa patch?Sia CVE-2023-1281 che CVE-2023-1829 sono vulnerabilità use-after-free nel filtro dell'indice di controllo del traffico (tcindex) del kernel Linux che possono essere sfruttate per eseguire l'escalation dei privilegi locali. Con CVE-2023-1829, la funzione tcindex_delete non disattiva correttamente i filtri in alcuni casi, il che può portare in seguito a una doppia liberazione di una struttura di dati. Nella vulnerabilità CVE-2023-1281, l'area di hash imperfetta può essere aggiornata durante il transito dei pacchetti, causando un uso dopo svuotamento quando viene chiamato |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo. GKE on Bare Metal non è interessato da questo CVE. Che cosa devo fare?Non occorre alcun intervento. |
Nessuno |
GCP-2023-003
Pubblicato: 11/04/2023
Aggiornato: 21/12/2023
Riferimento: CVE-2023-0240,
CVE-2023-23586
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
GKE
Ultimo aggiornamento: 21/12/2023
Descrizione | Gravità |
---|---|
Aggiornamento 21/12/2023: il bollettino originale indicava Autopilot
i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE
cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
o impostare esplicitamente il profilo seccomp Unconfined
consenti Nel kernel Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di eseguire l'escalation dei privilegi. i cluster GKE, inclusi i cluster Autopilot, con COS che utilizza Sono interessate le versioni del kernel Linux dalla 5.10 alla 5.10.162. I cluster GKE che utilizzano immagini Ubuntu o GKE Sandbox non sono interessati. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per risolvere questo problema le vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo, puoi proteggere i tuoi nodi finché la nuova versione non diventa predefinita per il canale specifico della release. Quali vulnerabilità vengono affrontate da questa patch?Vulnerabilità 1 (CVE-2023-0240): una condizione di gara in Vulnerabilità 2 (CVE-2023-23586): un uso dopo il rilascio (UAF) in |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di eseguire l'escalation dei privilegi. I cluster GKE on VMware con COS che utilizzano il kernel Linux 5.10 fino alla versione 5.10.162 sono interessati. I cluster GKE Enterprise che utilizzano immagini Ubuntu non sono interessati. Che cosa devo fare?Le seguenti versioni di GKE on VMware sono state aggiornate con il codice da correggere queste vulnerabilità:
Quali vulnerabilità vengono affrontate da questa patch?Vulnerabilità 1 (CVE-2023-0240): una condizione di gara in Vulnerabilità 2 (CVE-2023-23586): l'utilizzo gratuito (UAF) in |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di eseguire l'escalation dei privilegi. GKE su AWS non è interessato da queste CVE. Che cosa devo fare?Non occorre alcun intervento. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di eseguire l'escalation dei privilegi. GKE su Azure non è interessato da queste CVE Che cosa devo fare?Non occorre alcun intervento. |
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di eseguire l'escalation dei privilegi. GKE on Bare Metal non è interessato da queste CVE. Che cosa devo fare?Non occorre alcun intervento. |
Nessuno |
GCP-2023-001
Pubblicato il 01/03/2023
Ultimo aggiornamento: 21/12/2023
Riferimento: CVE-2022-4696
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.
GKE
Descrizione | Gravità |
---|---|
Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. Autopilot di GKE
cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
o impostare esplicitamente il profilo seccomp Unconfined
consenti È stata scoperta una nuova vulnerabilità (CVE-2022-4696) nel kernel Linux che può a un'escalation dei privilegi sul nodo. I cluster GKE, inclusi i cluster Autopilot, sono interessati. dei cluster GKE GKE Sandbox non è interessato. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei tuoi cluster e pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di release ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo, puoi proteggere i tuoi nodi finché la nuova versione non diventa predefinita per il canale specifico della release. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-4696, è stato rilevato un difetto " use-after-free" in io_uring e ioring_op_splice in del kernel Linux. Questa vulnerabilità consente a un utente locale di creare un'escalation dei privilegi locale. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE su VMware con versioni 1.12 e 1.13 sono interessati. GKE su VMware che esegue la versione 1.14 o successive non è interessato. Che cosa devo fare?Le seguenti versioni di GKE on VMware sono state aggiornate con il codice per risolvere questo problema vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a uno dei le seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-4696 è stato rilevato un difetto di uso dopo svuotamento in io_uring e ioring_op_splice nel kernel Linux. Questo difetto consente a un utente locale di creare un'escalation dei privilegi locali. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo. GKE su AWS non è interessato da questa vulnerabilità. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-4696) nel kernel Linux che può a un'escalation dei privilegi sul nodo. GKE su Azure non è interessato da questa vulnerabilità. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-4696) nel kernel Linux che può a un'escalation dei privilegi sul nodo. GKE on Bare Metal non è interessato da questa vulnerabilità. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. |
Nessuno |
GCP-2022-026
Pubblicato il: 11/01/2023
Riferimento: CVE-2022-3786, CVE-2022-3602
GKE
Descrizione | Gravità |
---|---|
In OpenSSL v3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che possono potenzialmente causare un arresto anomalo. Sebbene sia stata assegnata una valutazione Alta nel database NVD, gli endpoint GKE utilizzano boringSSL o una versione precedente di OpenSSL che non è interessata, pertanto la valutazione è stata ridotta a Media per GKE. Che cosa devo fare?Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità:
Una funzionalità recente dei canali di release ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventa quella predefinita di rilascio di un canale specifico. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-3786 e CVE-2022-3602, è possibile attivare un attacco di overflow del buffer nella verifica del certificato X.509 che può causare un arresto anomalo che si traduce in un denial of service. Per essere sfruttata, questa vulnerabilità richiede che un'autorità di certificazione abbia firmato un certificato dannoso o che un'applicazione continui la verifica del certificato nonostante la mancata creazione di un percorso per un emittente attendibile. |
Media |
GKE su VMware
Descrizione | Gravità |
---|---|
Sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) OpenSSL v3.0.6 che potrebbe causare un arresto anomalo. Che cosa devo fare?GKE on VMware non è interessato da questa CVE perché non utilizza una versione di OpenSSL interessata. Quali vulnerabilità vengono affrontate da questa patch?Non occorre alcun intervento. |
Nessuno |
GKE su AWS
Descrizione | Gravità |
---|---|
In OpenSSL 3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che possono potenzialmente causare un arresto anomalo. Che cosa devo fare?GKE su AWS non è interessato da questa CVE perché non utilizza una versione di OpenSSL interessata. Quali vulnerabilità vengono affrontate da questa patch?Non occorre alcun intervento. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
Sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) OpenSSL v3.0.6 che potrebbe causare un arresto anomalo. Che cosa devo fare?GKE su Azure non è interessato da questo CVE perché non utilizza una versione interessata di OpenSSL. Quali vulnerabilità vengono affrontate da questa patch?Non occorre alcun intervento. |
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) OpenSSL v3.0.6 che potrebbe causare un arresto anomalo. Che cosa devo fare?GKE on Bare Metal non è interessato da questa CVE perché non utilizza una versione di OpenSSL interessata. Quali vulnerabilità vengono affrontate da questa patch?Non occorre alcun intervento. |
Nessuno |
GCP-2022-025
Pubblicato il 21/12/2022
Ultimo aggiornamento: 19/01/2023, 21/12/2023
Riferimento: CVE-2022-2602
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.
Aggiornamento del 19/01/2023: è disponibile la versione GKE 1.21.14-gke.14100.
GKE
Aggiornamento: 19/01/2023
Descrizione | Gravità |
---|---|
Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot
nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
imposti esplicitamente il profilo seccomp Unconfined o
consenti È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring della Kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. I cluster GKE, inclusi i cluster Autopilot, sono interessati. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una successiva. Le seguenti versioni di GKE sono state aggiornate con il codice per risolvere questo problema la vulnerabilità in una prossima release. Per motivi di sicurezza, anche se disponi upgrade automatico, ti consigliamo di eseguire l'upgrade manuale dei tuoi pool di nodi in una delle seguenti versioni GKE:
Una funzionalità recente dei canali di release ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questo consente di proteggi i nodi fino a quando la nuova versione non diventa quella predefinita per la tua release canale. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e il socket Unix La garbage collection può causare una vulnerabilità "use-after-free". Un malintenzionato locale potrebbe utilizzarlo per attivare un attacco di tipo Denial of Service o eventualmente eseguire codice arbitrario. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring della Kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. Sono interessate le versioni 1.11, 1.12 e 1.13 di GKE on VMware. Che cosa devo fare?Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di GKE on VMware contiene codice che corregge questa vulnerabilità:
Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e il socket Unix La garbage collection può causare una vulnerabilità "use-after-free". Un malintenzionato locale potrebbe utilizzarlo per attivare un attacco di tipo Denial of Service o eventualmente eseguire codice arbitrario. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. Che cosa devo fare?Le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornato con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS:
Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e il socket Unix La garbage collection può causare una vulnerabilità "use-after-free". Un aggressore locale potrebbe usare per attivare un denial of service o per eseguire un codice arbitrario. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. Che cosa devo fare?Le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su Azure:
Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2602, una race condition tra l'elaborazione delle richieste io_uring e il socket Unix La garbage collection può causare una vulnerabilità "use-after-free". Un aggressore locale potrebbe usare per attivare un denial of service o per eseguire un codice arbitrario. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2602) nel sottosistema io_uring del kernel Linux che può consentire a un utente malintenzionato di eseguire potenzialmente codice arbitrario. GKE on Bare Metal non è interessato da questo CVE perché non include un sistema operativo nella sua distribuzione. Che cosa devo fare?Non occorre alcun intervento. |
Nessuno |
GCP-2022-024
Pubblicato: 09/11/2022
Aggiornato: 19/01/2023
Riferimento: CVE-2022-2585, CVE-2022-2588
Aggiornamento del 19/01/2023 : è disponibile la versione 1.21.14-gke.14100 di GKE.
Aggiornamento del 16/12/2022: sono state aggiunte le versioni delle patch riviste per GKE e GKE su VMware.
GKE
Aggiornamento: 19/01/2023
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a un'estrazione completa del container in root sul nodo. I cluster GKE, inclusi i cluster Autopilot, sono interessati. I cluster GKE che utilizzano GKE Sandbox non sono interessati. Che cosa devo fare?Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una versione successiva. Aggiornamento del 16/12/2022: una versione precedente del bollettino è stata rivista a causa di una regressione della release. Non dimenticare di apporre eseguire l'upgrade manuale dei tuoi pool di nodi in una delle seguenti versioni GKE:
Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente esegui l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:
A breve saranno disponibili aggiornamenti per GKE v1.22, 1.23 e 1.25. Questo bollettino sulla sicurezza verrà aggiornato non appena saranno disponibili. Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i tuoi nodi fino a quando la nuova versione non diventa predefinita per il canale specifico della release. Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su VMware
Ultimo aggiornamento: 16/12/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a un'estrazione completa del container in root sul nodo. Sono interessate le versioni 1.13, 1.12 e 1.11 di GKE on VMware. Che cosa devo fare?Aggiornamento del 16/12/2022: le seguenti versioni di GKE su VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?
|
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a un'estrazione completa del container in root sul nodo. Potrebbero essere interessate le seguenti versioni di Kubernetes su AWS:
La versione 1.24 di Kubernetes non è interessata. Che cosa devo fare?Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di AWS Kubernetes:
Quali vulnerabilità vengono affrontate?Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer. Con CVE-2022-2588 è stato rilevato un errore di uso dopo svuotamento in route4_change nel kernel di Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare a un'estrazione completa del container in root sul nodo. Potrebbero essere interessate le seguenti versioni di Kubernetes su Azure:
La versione 1.24 di Kubernetes non è interessata. Che cosa devo fare?Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni di Azure Kubernetes:
Quali vulnerabilità vengono affrontate?Con CVE-2022-2585, la pulizia non corretta dei timer nel timer della CPU posix consente un exploit use-after-free a seconda di come vengono creati ed eliminati i timer. Con CVE-2022-2588 è stato rilevato un errore di uso dopo svuotamento in route4_change nel kernel di Linux. Questo difetto consente a un utente locale di causare l'arresto anomalo del sistema, con la possibile conseguenza di un'escalation dei privilegi locali. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo. GKE on Bare Metal non è interessato da questa CVE perché non include un sistema operativo nella sua distribuzione. Che cosa devo fare?Non occorre alcun intervento. |
Nessuno |
GCP-2022-023
Pubblicato il 04/11/2022
Riferimento: CVE-2022-39278
GKE
Descrizione | Gravità |
---|---|
In Istio, utilizzato in Cloud Service Mesh, è stata scoperta una vulnerabilità di sicurezza (CVE-2022-39278) che consente a un malintenzionato di arrestare in modo anomalo il control plane. Che cosa devo fare?Google Kubernetes Engine (GKE) non viene fornito con Istio e non è interessato da questa vulnerabilità. Tuttavia, se hai installato separatamente Cloud Service Mesh o Istio sul tuo cluster GKE, consulta GCP-2022-020, il bollettino sulla sicurezza di Cloud Service Mesh relativo a questa CVE, per ulteriori informazioni. |
Nessuno |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, in Istio, utilizzato in Cloud Service Mesh in GKE su VMware, che consente a un malintenzionato di arrestare in modo anomalo il piano di controllo di Istio. Che cosa devo fare?Le seguenti versioni di GKE on VMware sono state aggiornate con il codice per risolvere questo problema vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?
Con la vulnerabilità CVE-2022-39278, il piano di controllo Istio |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, che viene utilizzata in Cloud Service Mesh, che consente a un utente malintenzionato di provocare l’arresto anomalo del piano di controllo. Che cosa devo fare?GKE su AWS non è interessato da questa vulnerabilità e non è richiesta alcuna azione da parte tua. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, che viene utilizzata in Cloud Service Mesh, che consente a un utente malintenzionato di provocare l’arresto anomalo del piano di controllo. Che cosa devo fare?GKE su Azure non è interessato da questa vulnerabilità e non è necessaria alcuna azione. |
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
In Istio è stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, che viene utilizzata in Cloud Service Mesh in GKE on Bare Metal, che consente a un utente malintenzionato per arrestare il piano di controllo Istio. Che cosa devo fare?Le seguenti versioni di GKE on Bare Metal sono state aggiornate con codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster a uno dei le seguenti versioni GKE on Bare Metal:
Quali vulnerabilità vengono affrontate da questa patch?
Con la vulnerabilità CVE-2022-39278, il piano di controllo Istio |
Alta |
GCP-2022-022-updated
Pubblicato il: 08/12/2022
Riferimento: CVE-2022-20409
GKE
Aggiornato il: 14/12/2022
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2022-20409) che può portare a un'escalation dei privilegi locali. Google Kubernetes Engine (GKE) v1.22, v1.23 e v1.24 di cluster, inclusi i cluster Autopilot, usando Container-Optimized OS le versioni 93 e 97. Altri supportati Versioni di GKE non ne sono interessati. dei cluster GKE GKE Sandbox non è interessato. Che cosa devo fare?Aggiornamento 14-12-2022: Una versione precedente del bollettino è stata rivista a causa di una regressione della release. Esegui l'upgrade manuale dei tuoi pool di nodi a una delle seguenti versioni GKE:
Le seguenti versioni di GKE che utilizzano la versione 93 e 97 del sistema operativo ottimizzato per i container sono state aggiornate con il codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se hai abilitato gli upgrade automatici dei nodi, ti consigliamo eseguire l'upgrade manuale dei tuoi pool di nodi in una delle seguenti versioni GKE:
Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questa funzionalità ti consente di proteggere i tuoi nodi finché la nuova versione non diventa predefinita per il canale specifico della release. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-20409, il kernel Linux ha una vulnerabilità in io_identity_cow del io_uring. Esiste il rischio di danneggiamento della memoria a causa di una vulnerabilità di tipo Use-After-Free (UAF). Un malintenzionato locale potrebbe utilizzare questa corruzione della memoria per un attacco di denial of service (arresto anomalo del sistema) o per eseguire codice arbitrario. |
Alta |
GKE su VMware
Ultimo aggiornamento: 14/12/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può comporta l'escalation dei privilegi locali. Che cosa devo fare?Aggiornamento del 14/12/2022: le seguenti versioni di GKE su VMware per Ubuntu sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su VMware:
Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-20409, il kernel Linux ha una vulnerabilità in io_identity_cow del io_uring. È possibile che la memoria venga danneggiata a causa di un evento (UAF). Un malintenzionato locale potrebbe utilizzare questa corruzione della memoria per un attacco di tipo Denial of Service (arresto anomalo del sistema) o per eseguire codice arbitrario. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di eseguire la riassegnazione al privilegio di esecuzione del sistema. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. GKE su AWS non utilizza le versioni interessate del kernel Linux. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. È possibile che la memoria venga danneggiata a causa di un evento (UAF). Un malintenzionato locale potrebbe utilizzare questa corruzione della memoria per un attacco di tipo Denial of Service (arresto anomalo del sistema) o per eseguire codice arbitrario. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che potrebbe consentire a un utente senza privilegi di eseguire la riassegnazione al privilegio di esecuzione del sistema. Che cosa devo fare?Non è richiesta alcuna azione. GKE su Azure non utilizza le versioni interessate del kernel Linux. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-20409, il kernel Linux presenta una vulnerabilità in io_identity_cow del sottosistema io_uring. È possibile che la memoria venga danneggiata a causa di un evento (UAF). Un malintenzionato locale potrebbe utilizzare questa corruzione della memoria per un attacco di tipo Denial of Service (arresto anomalo del sistema) o per eseguire codice arbitrario. |
Nessuno |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2022-20409, che può comporta l'escalation dei privilegi locali. Che cosa devo fare?
|
Nessuno |
GCP-2022-021
Pubblicato il: 27/10/2022
Aggiornato il: 19/01/2023, 21/12/2023
Riferimento: CVE-2022-3176
Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.
Aggiornamento del 19/01/2023 : è disponibile la versione 1.21.14-gke.14100 di GKE.
Aggiornamento 15/12/2022: sono state aggiornate le informazioni relative alla versione 1.21.14-gke.9400 di
Google Kubernetes Engine è in attesa di implementazione e potrebbe essere sostituito da un numero di versione superiore.
Aggiornamento del 21/11/2022: sono state aggiunte le versioni delle patch per GKE su VMware, GKE su AWS e GKE su Azure.
GKE
Ultimo aggiornamento: 19/01/2023, 21/12/2023
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2022-3176) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un attacco di estrazione completa del contenitore per ottenere i privilegi di root sul nodo. Aggiornamento del 21/12/2023: il bollettino originale indicava che i cluster Autopilot erano interessati, ma questa informazione non era corretta. I cluster GKE Autopilot
nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
imposti esplicitamente il profilo seccomp Unconfined o
consenti I cluster Google Kubernetes Engine (GKE) 1.21, inclusi i cluster Autopilot, che utilizzano Container-Optimized OS 89 sono interessati. Le versioni successive di GKE non sono interessate. Sono interessati tutti i cluster Linux con Ubuntu. Cluster GKE con GKE Sandbox non interessate. Che cosa devo fare?Aggiornamento 19/01/2023: è disponibile la versione 1.21.14-gke.14100. Esegui l'upgrade dei pool di nodi a questa versione o a una successiva. Aggiornamento del 15/12/2022: la versione 1.21.14-gke.9400 è in attesa di implementazione e potrebbe essere sostituito da un numero di versione superiore. Aggiorneremo questo documento quando la nuova versione sarà disponibili. Le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità in una release futura. Per motivi di sicurezza, anche se disponi upgrade automatici, ti consigliamo di eseguire l'upgrade manuale dei tuoi pool di nodi in una delle seguenti versioni GKE:
Una funzionalità recente di canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. Questa funzionalità ti consente di proteggere i tuoi nodi finché la nuova versione non diventa predefinita per il canale specifico della release. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancata gestione di POLLFREE può portare a exploit di tipo Use-After-Free (UAF) che possono essere utilizzati per l'escalation dei privilegi. |
Alta |
GKE su VMware
Ultimo aggiornamento: 21/11/2022
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2022-3176) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un'implementazione completa del container per eseguire il root sul nodo. Che cosa devo fare?
Aggiornamento del 21/11/2022: le seguenti versioni di GKE su VMware per Ubuntu sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su VMware:
Verranno rilasciate le versioni di GKE on VMware che contengono patch Ubuntu a breve. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su VMware saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancata gestione di POLLFREE può portare a exploit di tipo Use-After-Free (UAF) che possono essere utilizzati per l'escalation dei privilegi. |
Alta |
GKE su AWS
Aggiornamento: 21/11/2022
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2022-3176) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una segmentazione completa del container per eseguire il root sul nodo. Che cosa devo fare?Aggiornamento del 21/11/2022: le seguenti versioni attuali e di generazione precedente di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi in una delle seguenti versioni GKE on AWS: Generare
A breve verranno rilasciate le versioni di GKE su AWS contenenti le patch di Ubuntu. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancata gestione di POLLFREE può portare a exploit di tipo Use-After-Free (UAF) che possono essere utilizzati per l'escalation dei privilegi. |
Alta |
GKE su Azure
Ultimo aggiornamento: 21/11/2022
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2022-3176) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di ottenere una segmentazione completa del container per eseguire il root sul nodo. Che cosa devo fare?Aggiornamento 21-11-2022: Le seguenti versioni di GKE su Azure sono state aggiornate con il codice da correggere vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno dei seguenti Versioni di GKE su Azure:
Le versioni di GKE su Azure che contengono patch Ubuntu saranno sarà presto disponibile. Questo bollettino sulla sicurezza verrà aggiornato quando GKE on Azure sono disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-3176, il kernel Linux presenta una vulnerabilità nel sottosistema io_uring. La mancata gestione di POLLFREE può portare a exploit di tipo Use-After-Free (UAF) che possono essere utilizzati per l'escalation dei privilegi. |
Alta |
GKE su Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2022-3176) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di raggiungere un'implementazione completa del container per eseguire il root sul nodo. Che cosa devo fare?Non occorre alcun intervento. GKE on Bare Metal non è interessato da questa CVE perché non include un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2022-018
Pubblicato il: 01/08/2022
Aggiornamento: 14/09/2022, 21/12/2023
Riferimento: CVE-2022-2327
Aggiornamento 21/12/2023: chiarire che i cluster GKE Autopilot non sono interessati dalla configurazione predefinita.
Aggiornamento del 14/09/2022: sono state aggiunte le versioni delle patch per GKE su VMware, GKE su AWS e GKE su Azure.
GKE
Ultimo aggiornamento: 21/12/2023
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2327) nel Kernel Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un breakout completo del contenitore per ottenere l'accesso root sul nodo. Dettagli tecniciAggiornamento 21/12/2023: il bollettino originale indicava Autopilot
i cluster sono interessati, ma questo errore non è corretto. Autopilot di GKE
cluster nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se
o impostare esplicitamente il profilo seccomp Unconfined
consenti I cluster GKE, inclusi i cluster Autopilot, con il sistema operativo ottimizzato per i container (COS) che utilizza la versione 5.10 del kernel Linux sono interessati. I cluster GKE che utilizzano immagini Ubuntu o GKE Sandbox non sono interessati. Che cosa devo fare?Esegui l'upgrade dei cluster GKE a una versione che includa la correzione.
Le immagini dei nodi Linux per COS sono state aggiornate insieme alle versioni di GKE che utilizzano queste versioni di COS.
Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa diventi predefinita nel canale di release selezionato. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui mancano tipi di elementi (flag) per varie richieste. L'utilizzo di queste richieste senza i tipi di elementi appropriati specificati può causare l'escalation dei privilegi al root. |
Alta |
GKE su VMware
Aggiornamento: 14-09-2022
Descrizione | Gravità |
---|---|
Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questo consente a un utente senza privilegi di raggiungere un container completo per eseguire il rooting sul nodo. Cluster con un'immagine Container Optimized OS (COS) che utilizzano le versioni GKE on VMware 1.10, 1.11 e 1.12 sono interessati. Che cosa devo fare?Aggiornamento 14/09/2022: le seguenti versioni di GKE on VMware contiene codice che corregge questa vulnerabilità.
Verranno rilasciate le versioni di GKE on VMware che contengono patch a breve. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su VMware saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui mancano tipi di elementi (flag) per varie richieste. L'utilizzo di queste richieste senza i tipi di elementi appropriati specificati può causare l'escalation dei privilegi al root. |
Alta |
GKE su AWS
Aggiornamento: 14-09-2022
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2327) in Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un breakout completo del contenitore per ottenere l'accesso root sul nodo. Che cosa devo fare?Aggiornamento del 14/09/2022: le seguenti versioni attuali e di generazione precedente di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di esegui l'upgrade dei nodi a uno dei seguenti GKE su AWS versioni: Generazione attuale
Generazione precedente
A breve verranno rilasciate le versioni di GKE su AWS che contengono le patch. Questo bollettino sulla sicurezza verrà aggiornato quando GKE su AWS sono disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui mancano tipi di elementi (flag) per varie richieste. Usare queste richieste senza i tipi di elementi specificati possono causare l'escalation dei privilegi a root. |
Alta |
GKE su Azure
Aggiornamento: 14-09-2022
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2327) in Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un breakout completo del contenitore per ottenere l'accesso root sul nodo. Che cosa devo fare?Aggiornamento 14/09/2022: le seguenti versioni di GKE su Azure è stato aggiornato con il codice per risolvere questo problema vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a uno dei le seguenti versioni di GKE on Azure:
A breve verranno rilasciate le versioni di GKE su Azure che contengono le patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-2327, il kernel Linux nella versione 5.10 presenta una vulnerabilità nel sottosistema io_uring in cui mancano tipi di elementi (flag) per varie richieste. L'utilizzo di queste richieste senza i tipi di elementi appropriati specificati può causare l'escalation dei privilegi al root. |
Alta |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-2327) in Linux che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente senza privilegi di eseguire un breakout completo del contenitore per ottenere l'accesso root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da CVE, poiché non include un sistema operativo distribuzione dei contenuti. |
Nessuno |
GCP-2022-017
Pubblicato: 29/06/2022
Aggiornamento: 22/11/2022
Riferimento: CVE-2022-1786
Aggiornamento del 22/11/2022: informazioni aggiornate sui carichi di lavoro che utilizzano la sandbox GKE.
Aggiornamento 21/07/2022: sono state aggiornate le informazioni relative alle immagini COS di GKE on VMware
sono interessati.
GKE
Aggiornamento: 22/11/2022
Descrizione | Gravità |
---|---|
Aggiornamento del 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità. È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di ottenere una segmentazione completa del container per eseguire il root sul nodo. Solo i cluster che vengono eseguiti La modifica interesserà Container-Optimized OS. Le versioni GKE Ubuntu utilizzano la versione 5.4 o 5.15 del kernel, e non sono interessati. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per Container-Optimized OS per i seguenti elementi di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del nodo in una delle seguenti versioni di GKE future:
Una recente funzionalità dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa diventi predefinita nel canale di rilascio selezionato. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-1786 è stato rilevato un errore di uso dopo svuotamento nel sottosistema io_uring del kernel Linux. Se un utente configura un anello con IORING_SETUP_IOPOLL con più di un compito che completa i messaggi nell'anello, un utente locale può causare un arresto anomalo o eseguire la riassegnazione dei propri privilegi sul sistema. |
Alta |
GKE su VMware
Ultimo aggiornamento: 14/07/2022
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'estrazione completa del contenitore per ottenere l'accesso root sul nodo. Che cosa devo fare?Aggiornamento del 21/07/2022: le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità. COS
UbuntuNon sono necessarie ulteriori azioni. GKE on VMware non utilizza le versioni interessate del kernel Linux. |
Nessuno |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'estrazione completa del contenitore per ottenere l'accesso root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE su AWS non utilizza le versioni interessate del kernel Linux. |
Nessuno |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'estrazione completa del contenitore per ottenere l'accesso root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. GKE su Azure non utilizza le versioni interessate del kernel Linux. |
Nessuno |
Google Distributed Cloud Virtual per Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'estrazione completa del contenitore per ottenere l'accesso root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questa CVE in quanto non include un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2022-016
Pubblicato il 23/06/2022
Ultimo aggiornamento: 22/11/2022
Riferimento: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
Aggiornamento 22/11/2022 : sono state aggiunte informazioni sui carichi di lavoro in esecuzione nei cluster Autopilot.
Aggiornamento del 29/07/2022: sono state aggiornate le versioni di GKE su VMware, GKE su AWS e GKE su Azure.
GKE
Aggiornamento: 22/11/2022
Descrizione | Gravità |
---|---|
Aggiornamento del 22/11/2022: I cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116. Aggiornamento 29-07-2022: I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un breakout completo del contenitore per ottenere l'accesso root sul nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu). Che cosa devo fare?Le versioni delle immagini dei nodi Linux sia per Container-Optimized OS che per Ubuntu per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi eseguire l'upgrade dei nodi alla versione con patch prima che questa versione diventi quella predefinita nel canale di rilascio selezionato. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 presenta un uso dopo il rilascio a causa di una race condition nei timeout di io_uring. CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un malintenzionato locale può causare una corruzione della memoria in io_uring o net/sched nel kernel di Linux per eseguire l'escalation dei privilegi a root. |
Alta |
GKE su VMware
Ultimo aggiornamento: 29/07/2022
Descrizione | Gravità |
---|---|
Aggiornamento del 29/07/2022: le seguenti versioni di GKE on VMware contengono codice che corregge queste vulnerabilità.
Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano GKE su VMware v1.9 e versioni successive per Container-Optimized OS e immagini Ubuntu. Che cosa devo fare?A breve verranno rilasciate le versioni di GKE su VMware contenenti le patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su VMware saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 presenta un uso dopo il rilascio a causa di una race condition nei timeout di io_uring. CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un malintenzionato locale può causare una corruzione della memoria in io_uring o net/sched nel kernel di Linux per eseguire l'escalation dei privilegi a root. |
Alta |
GKE su AWS
Ultimo aggiornamento: 29/07/2022
Descrizione | Gravità |
---|---|
Aggiornamento del 29/07/2022: Aggiornamento: le seguenti versioni attuali e di generazione precedente di GKE su AWS sono state aggiornate con il codice per correggere queste vulnerabilità. Me di eseguire l'upgrade dei nodi a uno dei seguenti Versioni di GKE su AWS: Generazione attuale:
Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un breakout completo del contenitore per ottenere l'accesso root sul nodo. Queste vulnerabilità interessano tutte le versioni di GKE su AWS. Che cosa devo fare?A breve verranno rilasciate le versioni di GKE su AWS che contengono patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su AWS saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 presenta un uso dopo il rilascio a causa di una race condition nei timeout di io_uring. CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un malintenzionato locale può causare una corruzione della memoria in io_uring o net/sched nel kernel di Linux per eseguire l'escalation dei privilegi a root. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
Aggiornamento del 29/07/2022: Aggiornamento: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su Azure:
Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa del container per ottenere il root sul nodo. Queste vulnerabilità interessano tutte le versioni di GKE su Azure. Che cosa devo fare?A breve verranno rilasciate le versioni di GKE su Azure che contengono le patch. Questo bollettino sulla sicurezza verrà aggiornato quando le versioni di GKE su Azure saranno disponibili per il download. Quali vulnerabilità vengono affrontate da questa patch?Con CVE-2022-29582, il kernel Linux nelle versioni precedenti alla 5.17.3 presenta un uso dopo il rilascio a causa di una race condition nei timeout di io_uring. CVE-2022-29581 e CVE-2022-1116 sono vulnerabilità in cui un malintenzionato locale può causare una corruzione della memoria in io_uring o net/sched nel kernel di Linux per eseguire l'escalation dei privilegi a root. |
Alta |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di eseguire un breakout completo del contenitore per ottenere l'accesso root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questa vulnerabilità, in quanto non include un sistema operativo nella sua distribuzione. |
Nessuno |
GCP-2022-014
Pubblicato il 26/04/2022
Ultimo aggiornamento: 22/11/2022
Aggiornamento 22/11/2022: sono state aggiunte informazioni sui carichi di lavoro in esecuzione nei cluster Autopilot.
Aggiornamento 12/05/2022: versioni patch aggiornate per GKE su AWS e
GKE su Azure.
Riferimento: CVE-2022-1055, CVE-2022-27666
GKE
Aggiornamento: 22/11/2022
Descrizione | Gravità |
---|---|
Aggiornamento del 22/11/2022: i cluster e i carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non sono interessati da queste vulnerabilità. Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può consentire a un malintenzionato locale di eseguire un'estrazione dal contenitore, l'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Dettagli tecniciIn CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter(), che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo. In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un utente malintenzionato locale nel container di aumentare i privilegi di root sul nodo. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni GKE imminenti:
Quali vulnerabilità vengono affrontate da questa patch? |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può consentire a un malintenzionato locale di eseguire un'estrazione dal contenitore, l'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Dettagli tecniciIn CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter(), che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo. In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un utente malintenzionato locale nel container di aumentare i privilegi di root sul nodo. Che cosa devo fare?Esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni di GKE on VMware o successive contengono la correzione di questa vulnerabilità:
Quali vulnerabilità vengono affrontate da questa patch? |
Alta |
GKE su AWS
Aggiornamento: 12/05/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può consentire a un malintenzionato locale di eseguire un'estrazione dal contenitore, l'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Dettagli tecniciIn CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter(), che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo. In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un utente malintenzionato locale nel container di aumentare i privilegi di root sul nodo. Che cosa devo fare?Aggiornamento 12-05-2022: Le seguenti versioni attuali e precedenti di GKE su AWS sono state aggiornato con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei tuoi nodi a una delle seguenti versioni di GKE su AWS: Generazione attuale
Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena saranno disponibili. Quali vulnerabilità vengono affrontate da questa patch? |
Alta |
GKE su Azure
Ultimo aggiornamento: 12/05/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può consentire a un malintenzionato locale di eseguire un'estrazione dal contenitore, l'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Dettagli tecniciIn CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter(), che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo. In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un utente malintenzionato locale nel container di aumentare i privilegi di root sul nodo. Che cosa devo fare?Aggiornamento del 12 maggio 2022: le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su Azure:
Esegui l'upgrade del cluster a una versione con patch. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato non appena saranno disponibili. Quali vulnerabilità vengono affrontate da questa patch? |
Alta |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può consentire a un malintenzionato locale di eseguire un'estrazione dal contenitore, l'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Dettagli tecniciIn CVE-2022-1055, un aggressore può sfruttare "use-after-free" in tc_new_tfilter(), che consente a un aggressore locale nel container di aumentare i privilegi per ottenere il root sul nodo. In CVE-2022-27666, l’overflow del buffer in esp/esp6_output_head consente a un utente malintenzionato locale nel container di aumentare i privilegi di root sul nodo. Che cosa devo fare?Non sono necessarie ulteriori azioni. Google Distributed Cloud Virtual for Bare Metal non è interessato da questo CVE, in quanto non include Linux nel suo pacchetto. Devi assicurarti che le immagini dei nodi che utilizzi vengano aggiornate alle versioni che contengono la correzione per CVE-2022-1055 e CVE-2022-27666. Quali vulnerabilità vengono affrontate da questa patch? |
Alta |
GCP-2022-013
Pubblicato il 11/04/2022
Ultimo aggiornamento: 20/04/2022
Riferimento: CVE-2022-23648
Aggiornamento 22/04/2022: versioni patch aggiornate per Google Distributed Cloud Virtual for Bare Metal e GKE on VMware.
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso di lettura completo a file e directory arbitrari sull'host. Questa vulnerabilità potrebbe aggirare qualsiasi applicazione basata su criteri per la configurazione dei container (incluso un criterio di sicurezza dei pod Kubernetes). Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu) che utilizzano containerd per impostazione predefinita. Sono interessati tutti i nodi GKE, Autopilot e GKE Sandbox. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade dei nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i nodi fino a quando la nuova versione non diventerà quella predefinita per il tuo canale di rilascio specifico. |
Media |
GKE su VMware
Ultimo aggiornamento: 22/04/2022
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso di lettura completo a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Questa vulnerabilità interessa tutti i servizi GKE on VMware con stackdriver abilitato, che utilizza containerd. Sono interessate le versioni di GKE on VMware 1.8, 1.9 e 1.10 Che cosa devo fare?Aggiornamento del 22/04/2022: le seguenti versioni di GKE on VMware contengono codice che corregge questa vulnerabilità.
Le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE on VMware:
Questo CVE può essere mitigato impostando IgnoreImageDefinedVolumes su true. |
Media |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del traversale del percorso di containerd nella specifica del volume dell'immagine OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione di immagine appositamente creata potrebbero ottenere l'accesso completo in lettura a file e directory arbitrari sull'host. Questa vulnerabilità potrebbe aggirare qualsiasi applicazione basata su criteri per la configurazione dei container (incluso un criterio di sicurezza dei pod Kubernetes). Sono interessate tutte le versioni di GKE su AWS. Che cosa devo fare?Le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi a una delle seguenti versioni di GKE su AWS. GKE su AWS (generazione attuale)
GKE su AWS (generazione precedente)
Questo CVE può essere mitigato impostando IgnoreImageDefinedVolumes su true. |
Media |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso di lettura completo a file e directory arbitrari sull'host. Questa vulnerabilità può bypassare qualsiasi applicazione basata su criteri nella configurazione dei container (incluso un criterio di sicurezza dei pod di Kubernetes). Sono interessate tutte le versioni di GKE su Azure. Che cosa devo fare?Le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei nodi nel seguente modo:
Questo CVE può essere mitigato impostando IgnoraImageDefiniscidVolumes su true. |
Media |
Google Distributed Cloud Virtual per Bare Metal
Aggiornamento: 22/04/2022
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del path traversal da parte di containerd nella specifica del volume di immagini OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso di lettura completo a file e directory arbitrari sull'host. Questa vulnerabilità potrebbe aggirare qualsiasi applicazione basata su criteri per la configurazione dei container (incluso un criterio di sicurezza dei pod Kubernetes). Questa vulnerabilità interessa tutti i virtuali Google Distributed Cloud per Bare Metal che utilizzano containerd. Sono interessate le versioni 1.8, 1.9 e 1.10 di Google Distributed Cloud Virtual for Bare Metal Che cosa devo fare?Aggiornamento del 22/04/2022: le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal contengono codice che corregge questa vulnerabilità.
Le seguenti versioni di Google Distributed Cloud Virtual for Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei tuoi nodi a una delle seguenti versioni di Google Distributed Cloud Virtual for Bare Metal:
Questo CVE può essere mitigato impostando IgnoreImageDefinedVolumes su true. |
Media |
GCP-2022-012
Pubblicato: 07/04/2022
Aggiornamento: 22/11/2022
Riferimento: CVE-2022-0847
Aggiornamento del 22/11/2022: informazioni aggiornate sui carichi di lavoro che utilizzano la sandbox GKE.
GKE
Aggiornamento: 22/11/2022
Descrizione | Gravità |
---|---|
Aggiornamento del 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità. Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi del container alla radice. Questa vulnerabilità interessa tutte le versioni del pool di nodi GKE 1.22 e successive che utilizzano immagini Container-Optimized OS (Container-Optimized OS 93 e versioni successive). I pool di nodi GKE che utilizzano il sistema operativo Ubuntu non sono interessati. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai attivato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale dei pool di nodi a una delle seguenti versioni di GKE:
Una funzionalità recente dei canali di rilascio ti consente di applicare una versione con patch di altri canali di rilascio senza doverti cancellare da un canale. In questo modo puoi proteggere i tuoi nodi fino a quando la nuova versione non diventa predefinita per il canale specifico della release. Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-0847 riguarda il flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel di Linux. In questa vulnerabilità, il membro "flags" della nuova struttura del buffer della pipeline non era stato inizializzato correttamente nel kernel di Linux. Un aggressore locale senza privilegi può usare questo difetto per scrivere pagine nella cache della pagina supportate da file di sola lettura e aumentare i propri privilegi. Le nuove versioni di Container-Optimized OS che risolvono il problema sono state integrate nelle versioni aggiornate del pool di nodi di GKE. |
Alta |
GKE su VMware
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, nel kernel Linux 5.8 e versioni successive che può potenzialmente eseguire l'escalation dei privilegi a root. Questa vulnerabilità interessa GKE su VMware v1.10 per le immagini Container-Optimized OS. Al momento, GKE on VMware con Ubuntu è alla versione del kernel 5.4 e non è vulnerabile a questo attacco. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente alla seguente versione di GKE on VMware:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-0847 si riferisce al flag PIPE_BUF_FLAG_CAN_MERGE che è stato introdotto nella versione 5.8 del kernel Linux. In questa vulnerabilità, il membro "flags" della nuova struttura del buffer della pipeline non era stato inizializzato correttamente nel kernel di Linux. Un utente malintenzionato locale non privilegiato può utilizzare questa vulnerabilità per scrivere nelle pagine della cache di pagine basate su file di sola lettura e aumentare i propri privilegi. Le nuove versioni di Container-Optimized OS che risolvono questo problema sono state integrate nelle versioni aggiornate di GKE on VMware. |
Alta |
GKE su AWS
Descrizione | Gravità |
---|---|
Nel kernel Linux versione 5.8 e successive è stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, che può potenzialmente aumentare i privilegi alla radice. Questa vulnerabilità interessa i cluster gestiti di GKE su AWS v1.21 e i cluster in esecuzione su GKE su AWS (generazione precedente) v1.19, v1.20, v1.21, che utilizzano Ubuntu. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere questa vulnerabilità. Per GKE gestito su AWS, ti consigliamo di eseguire l'upgrade dei cluster utente e del pool di nodi a una delle seguenti versioni:
Per GKE k-lite su AWS, ti consigliamo di eseguire l'upgrade degli oggetti AWSManagementService, AWSCluster e AWSNodePool alla seguente versione:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-0847 riguarda il flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel di Linux. In questa vulnerabilità, i "flag" del componente della nuova struttura del buffer del pipe non era stato inizializzato correttamente nel kernel Linux. Un utente malintenzionato locale non privilegiato può utilizzare questa vulnerabilità per scrivere nelle pagine della cache di pagine basate su file di sola lettura e aumentare i propri privilegi. |
Alta |
GKE su Azure
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, nel kernel Linux 5.8 e versioni successive che può potenzialmente eseguire l'escalation dei privilegi a root. Questa vulnerabilità interessa i cluster gestiti di GKE su Azure v1.21 che utilizzano Ubuntu. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster utente e del pool di nodi alla versione seguente:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-0847 riguarda il flag PIPE_BUF_FLAG_CAN_MERGE introdotto nella versione 5.8 del kernel di Linux. In questa vulnerabilità, i "flag" del componente della nuova struttura del buffer del pipe non era stato inizializzato correttamente nel kernel Linux. Un utente malintenzionato locale non privilegiato può utilizzare questa vulnerabilità per scrivere nelle pagine della cache di pagine basate su file di sola lettura e aumentare i propri privilegi. |
Alta |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, nel kernel Linux 5.8 e versioni successive che può potenzialmente eseguire l'escalation dei privilegi a root. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. Google Distributed Cloud Virtual for Bare Metal non è interessato da questa CVE perché non include Linux nel proprio pacchetto. Assicurati che le immagini dei nodi che utilizzi siano aggiornate alle versioni che contengono la correzione per CVE-2022-0847. |
Alta |
GCP-2022-011
Pubblicato il 22/03/2022
Ultimo aggiornamento: 11/08/2022
Aggiornamento del 11/08/2022: sono stati aggiunti ulteriori dettagli sugli effetti della configurazione errata di SMT.
GKE
Descrizione | Gravità |
---|---|
Aggiornamento del 11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione del multi-threading simultaneo (SMT). Lo scopo di SMT era disattivato, ma è stato attivato nelle versioni elencate. Se manualmente SMT abilitato per un pool di nodi con sandbox, SMT rimarrà abilitato manualmente nonostante questo problema. Esiste una configurazione errata del multi-threading simultaneo (SMT), noto anche come hyper-threading, nelle immagini di GKE Sandbox. La configurazione errata lascia i nodi potenzialmente esposti a attacchi lato canale come il Microarchitectural Data Sampling (MDS) (per maggiori informazioni, consulta la documentazione di GKE Sandbox). Sconsigliamo di utilizzare le seguenti versioni interessate:
Se hai abilitato manualmente SMT per un pool di nodi, questo problema non interessa i nodi sottoposti a sandbox. Che cosa devo fare?Esegui l'upgrade dei nodi a una delle seguenti versioni:
Quale vulnerabilità viene affrontata da questa patch?Nei nodi GKE Sandbox, SMT è disattivato per impostazione predefinita, per mitigare gli attacchi lato canale. |
Media |
GCP-2022-009
Pubblicato il 01/03/2022
Ultimo aggiornamento: 15/03/2022
GKE
Descrizione | Gravità |
---|---|
Aggiornamento del 15/03/2022: sono state aggiunte le guide alla mitigazione delle vulnerabilità per GKE su AWS e GKE su Azure. È stata aggiunta una sezione sulla persistenza che utilizza i webhook. Alcuni percorsi imprevisti per accedere alla VM del nodo sui cluster GKE Autopilot potrebbero essere stati utilizzati per eseguire la riassegnazione dei privilegi nel cluster. Questi problemi sono stati risolti e non sono richieste ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program. Gli utenti dei cluster GKE Standard e GKE possono facoltativamente applicare un criterio di protezione simile descritto di seguito. Dettagli tecniciAccesso all'host mediante esenzioni dei criteri di terze partiPer consentire a Google Cloud di offrire una gestione completa dei nodi e un SLA a livello di pod, GKE Autopilot limita alcune primitive Kubernetes ad accesso elevato per impedire ai carichi di lavoro di avere accesso a basso livello alla VM del nodo. Per contestualizzare, GKE Standard offre accesso completo all'infrastruttura di calcolo sottostante, Autopilot offre accesso limitato e Cloud Run non offre accesso. Autopilot allenta alcune di queste limitazioni per un elenco predefinito di strumenti di terze parti per consentire ai clienti di eseguirli su Autopilot senza modifiche. Utilizzando i privilegi per creare pod con montaggi del percorso dell'host, il ricercatore è stato in grado di eseguire un contenitore con privilegi in un pod che sembrava uno di questi strumenti di terze parti inclusi nella lista consentita per ottenere l'accesso all'host. La possibilità di pianificare i pod in questo modo è prevista su GKE Standard, ma non su GKE Autopilot, in quanto ha ignorato le restrizioni dell'accesso all'host utilizzate per abilitare lo SLA (accordo sul livello del servizio) descritte in precedenza. Questo problema è stato risolto rafforzando la specifica del pod della lista consentita di terze parti. Escalation dei privilegi da root-on-nodeOltre all'accesso all'host, i pod Abbiamo ritirato e rimosso Come misura di protezione del sistema per prevenire questo tipo di attacco in futuro, applicheremo un vincolo Autopilot in una prossima release che impedisce gli aggiornamenti all'account di servizio di vari oggetti nello spazio dei nomi
Addition 15/03/2022: persistenza con webhook mutantiNel report sono stati utilizzati webhook con mutazione per stabilire un punto d'appoggio privilegiato nel cluster dopo la compromissione. Si tratta di componenti standard dell'API Kubernetes creati dagli amministratori del cluster e sono stati resi visibili agli amministratori quando Autopilot ha aggiunto il supporto per gli webhook definiti dal cliente. Account di servizio con privilegi nello spazio dei nomi predefinitoIn precedenza, gli applicativi di applicazione dei criteri Autopilot inserivano nella lista consentita due account di servizio nello spazio dei nomi predefinito: Che cosa devo fare?I criteri di tutti i cluster GKE Autopilot sono stati aggiornati per rimuovere l'accesso all'host non intenzionale e non è richiesta alcuna azione ulteriore. Nelle prossime settimane verrà applicato un ulteriore rafforzamento dei criteri ad Autopilot come protezione secondaria. Non è richiesta alcuna azione da parte tua. I cluster GKE Standard e i cluster GKE non sono interessati in quanto gli utenti hanno già accesso all'host. Come misura di rafforzamento del sistema, gli utenti dei cluster GKE Standard e dei cluster GKE possono applicare una protezione simile con un criterio Gatekeeper che impedisce l'automodifica dei carichi di lavoro con privilegi. Per le istruzioni, consulta le seguenti guide all'hardening:
|
Bassa |
GCP-2022-008
Pubblicato: 23/02/2022
Aggiornato: 28/04/2022
Riferimento:
CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657,
CVE-2022-21656
GKE
Descrizione | Gravità |
---|---|
Il progetto Envoy ha recentemente scoperto una serie di vulnerabilità, CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657 e
CVE-2022-21656
che potrebbe influire sui cluster GKE che utilizzano Anthos Service Mesh,
Istio-on-GKE o deployment Istio personalizzati. Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy. Background tecnico Ulteriori dettagli per queste vulnerabilità sono disponibili qui. Che cosa devo fare?I cluster GKE che eseguono Anthos Service Mesh devono eseguire l'upgrade a versione supportata con correzione delle vulnerabilità indicate sopra
I cluster GKE che eseguono Istio-on-GKE devono eseguire l'upgrade a un versione con correzione alle vulnerabilità sopra indicate
Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656 |
Alta |
GKE su VMware
Aggiornamento: 28/04/2022
Descrizione | Gravità |
---|---|
Di recente Envoy ha rilasciato più correzioni di vulnerabilità di sicurezza. GKE su VMware è
interessato perché Envoy viene utilizzato con Metrics-Server. La
Le CVE di Envoy che stiamo correggendo sono elencate di seguito. Aggiorneremo questo
bollettino con versioni specifiche quando sono disponibili:
Istio ha rilasciato di recente una correzione della vulnerabilità di sicurezza. Anthos on VMware è interessato perché Istio viene utilizzato per l'ingresso. Di seguito sono elencate le vulnerabilità CVE di Istio che stiamo correggendo. Aggiorneremo questo bollettino con versioni specifiche non appena sono disponibili: CVE-2022-23635 (punteggio CVSS 7.5, alto): Istiod si blocca alla ricezione di richieste con un'intestazione "di autorizzazione" appositamente creata.Per le descrizioni complete e gli impatti delle CVE sopra indicate, consulta i bollettini sulla sicurezza. Aggiunta del 28/04/2022: che cosa devo fare?Le seguenti versioni di GKE on VMware risolvono queste vulnerabilità:
Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656 |
Alta |
Google Distributed Cloud Virtual for Bare Metal
Descrizione | Gravità |
---|---|
Envoy ha recentemente rilasciato diverse correzioni di vulnerabilità della sicurezza. Anthos
on Bare Metal ne è colpito perché viene utilizzato Envoy per il server delle metriche.
Le CVE di Envoy che risolviamo nelle release 1.10.3, 1.9.6 e 1.8.9 sono
elencate di seguito:
Per le descrizioni complete e l'impatto delle CVE precedenti, fai riferimento al team bollettini. Quali vulnerabilità vengono affrontate da questa patch?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, e CVE-2022-21656 |
Alta |
GCP-2022-006
Pubblicato: 14/02/2022
Aggiornato: 16/05/2022
Aggiornamento del 16/05/2022: è stata aggiunta la versione GKE 1.19.16-gke.7800 o successiva all'elenco delle versioni con codice per correggere questa vulnerabilità.
Aggiornamento del 12/05/2022: sono state aggiornate le versioni delle patch per GKE, Google Distributed Cloud Virtual per Bare Metal, GKE su VMware e GKE su AWS.
Risolto un problema per cui il bollettino sulla sicurezza per GKE su AWS non veniva
visualizzato quando è stato aggiunto il 23/02/2022.
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492,
nella funzione Che cosa devo fare?Aggiornamento del 16/05/2022: oltre alle versioni di GKE menzionate nell'aggiornamento del 12/05/2022, anche la versione GKE 1.19.16-gke.7800 o successive contiene codice che corregge questa vulnerabilità. Aggiornamento 12-05-2022: Le seguenti versioni di GKE contengono codice per risolvere questo problema vulnerabilità:
Aggiornamento 15/02/2022: istruzione gVisor corretta. La vulnerabilità si trova nel
Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato quando disponibili. Quale vulnerabilità viene affrontata da questa patch?CVE-2022-0492 |
Bassa |
Cluster GKE su
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492,
nella funzione Che cosa devo fare?Aggiornamento 12-05-2022: Le seguenti versioni di GKE on VMware contengono codice per la correzione vulnerabilità. COS
La vulnerabilità si trova in cgroup_release_agent_write del kernel Linux nella funzione kernel/cgroup/cgroup-v1.c e può essere utilizzata per eseguire un'estrazione dal contenitore. GKE on VMware non è interessato a causa della protezione del profilo AppArmor predefinito su Ubuntu e COS. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno perso Limitazioni di sicurezza sui pod tramite la modifica del securityContext di pod o container ad esempio disattivando/modificando il profilo AppArmor, operazione non consigliata. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato quando saranno disponibili. Quale vulnerabilità viene affrontata da questa patch?CVE-2022-0492 |
Bassa |
GKE su AWS
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492,
nella funzione Che cosa devo fare?Aggiornamento del 12/05/2022: le seguenti versioni di GKE su AWS di generazione attuale e precedente contengono codice che corregge questa vulnerabilità: Generare
Aggiornamento 23/02/2022: è stata aggiunta una nota per GKE su AWS. Le generazioni precedenti e attuali di GKE su AWS non sono interessate grazie alla protezione del profilo AppArmor predefinito su Ubuntu. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno allentato le misure di sicurezza limitazioni sui pod tramite la modifica del campo securityContext del pod o del container, ad esempio disattivando/modificando il profilo AppArmor, operazione non consigliata. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato quando saranno disponibili. Quale vulnerabilità viene affrontata da questa patch?CVE-2022-0492 |
Bassa |
GKE Enterprise
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492,
nella funzione Che cosa devo fare?Aggiornamento 12-05-2022: Le seguenti versioni di GKE su Azure contengono codice che corregge questo vulnerabilità:
GKE su Azure non è interessato a causa della protezione del profilo AppArmor predefinito su Ubuntu. Tuttavia, alcuni clienti potrebbero essere ancora vulnerabili se hanno allentato le limitazioni di sicurezza sui pod tramite la modifica del campo securityContext del pod o del contenitore, ad esempio disattivando/modificando il profilo AppArmor, che non è consigliato. Le patch saranno disponibili in una release futura. Questo bollettino verrà aggiornato sono disponibili. Quale vulnerabilità viene affrontata da questa patch?CVE-2022-0492 |
Bassa |
GCP-2022-005
Pubblicato il: 11/02/2022Aggiornamento: 15/02/2022
Riferimento: CVE-2021-43527
GKE
Descrizione | Gravità |
---|---|
Aggiornamento del 15/02/2022: alcune versioni di GKE menzionate nel bollettino originale sono state combinate con altri fix e i relativi numeri di versione sono stati incrementati prima del rilascio. Le patch sono disponibili nelle seguenti versioni GKE:
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in qualsiasi file binario che rimandi alle versioni vulnerabili di libnss3 presenti nelle versioni di NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come NSS viene utilizzato/configurato. Sia le immagini GKE COS che quelle Ubuntu hanno installato una versione vulnerabile e devono essere sottoposte a patch. Potenzialmente, CVE-2021-43527 può avere un ampio impatto su tutte le applicazioni che utilizzano NSS per gestione delle firme codificate in CMS, S/MIME, PKCS#7 o PKCS#12. Potrebbero essere interessate anche le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL. L'impatto dipende dal modo in cui NSS viene utilizzato/configurato. GKE non utilizza libnss3 per alcuna API accessibile da internet. L'impatto è limitato a codice on-host in esecuzione all'esterno dei container. Le dimensioni sono ridotte a causa della progettazione minima di ChromeOS. Il codice GKE in esecuzione all'interno dei container che utilizzano l'immagine di base distroless di golang non è interessato. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade del piano di controllo e dei nodi a uno dei le seguenti versioni GKE:
Quale vulnerabilità viene affrontata da questa patch? |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in ogni file binario che si collega le versioni vulnerabili di libnss3 presenti nelle versioni di NSS (Network Security Services) precedenti a 3.73 o 3.68.1. Applicazioni che utilizzano NSS per la convalida dei certificati o altre protocolli TLS, X.509, La funzionalità di OCSP o CRL potrebbe essere compromessa, a seconda della modalità di configurazione di NSS. Sia GKE su VMware COS sia le immagini Ubuntu hanno installato una versione vulnerabile e devono essere sottoposte a patch. Potenzialmente, la vulnerabilità CVE-2021-43527 può avere un impatto ampio sulle applicazioni che utilizzano NSS per gestire le firme codificate in CMS, S/MIME, PKCS #7 o PKCS #12. Potrebbero essere interessate anche le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL. L'impatto dipende dal modo in cui viene configurato/utilizzato NSS. Anthos su VMware non utilizza libnss3 per le API accessibili pubblicamente, pertanto l'impatto è limitato e la gravità di questa CVE per GKE su VMware è classificata come Media. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di Anthos sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade del piano di controllo e dei nodi a una delle seguenti versioni di Anthos:
Stai utilizzando una versione di GKE on VMware precedente alla 1.18? Utilizzi un Versione di Anthos su SLA (accordo sul livello del servizio) e di eseguire l'upgrade a una delle versioni supportate. Quale vulnerabilità viene affrontata da questa patch? |
Media |
GKE Enterprise
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in ogni file binario che si collega le versioni vulnerabili di libnss3 presenti nelle versioni di NSS (Network Security Services) precedenti a 3.73 o 3.68.1. Applicazioni che utilizzano NSS per la convalida dei certificati o altre protocolli TLS, X.509, La funzionalità di OCSP o CRL potrebbe essere influenzata, a seconda di come viene utilizzato/configurato NSS. Anthos sulle immagini Azure Ubuntu hanno installato una versione vulnerabile e devono essere con la patch applicata. Potenzialmente, CVE-2021-43527 può avere un ampio impatto sulle applicazioni che utilizzano NSS per gestione delle firme codificate in CMS, S/MIME, PKCS#7 o PKCS#12. Potrebbero essere interessate anche le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL. L'impatto dipende dal modo in cui viene configurato/utilizzato NSS. Anthos clusters on Azure non utilizza libnss3 per le API accessibili pubblicamente, pertanto l'impatto è limitato e la gravità di questa CVE per Anthos on Azure è classificata come Media. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di Anthos on Azure:
Quale vulnerabilità viene affrontata da questa patch? |
Media |
GCP-2022-004
Pubblicato il: 04/02/2022Riferimento: CVE-2021-4034
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una vulnerabilità di sicurezza, CVE-2021-4034, in pkexec, parte del pacchetto del kit di criteri di Linux (polkit), che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio. Che cosa devo fare?GKE non è interessato perché il modulo vulnerabile Policykit-1 non è installato sulle immagini COS o Ubuntu utilizzate in GKE. Non è richiesta alcuna azione da parte tua. |
Nessuno |
Cluster GKE su
Descrizione | Gravità |
---|---|
In pkexec, una parte del pacchetto polkit (Linux Policy Kit), è stata scoperta una vulnerabilità di sicurezza CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio. La configurazione predefinita di GKE Enterprise offre già agli utenti il "sudo" completo i privilegi, quindi questo exploit non modifica la strategia di sicurezza esistente di GKE Enterprise Dettagli tecniciAffinché questo bug sia sfruttabile, un aggressore ha bisogno sia di una shell non root sul file system del nodo, sia di una versione vulnerabile di pkexec installata. Sebbene GKE su VMware includa una versione di policykit-1 nelle sue immagini di release, la configurazione predefinita di GKE Enterprise consente sudo senza password a chiunque abbia già accesso alla shell, pertanto questa vulnerabilità non conferisce all'utente più privilegi di quelli che ha già. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. GKE on VMware non è interessato. |
Nessuno |
Cluster GKE su
Descrizione | Gravità |
---|---|
GKE su AWS non è interessato. Il modulo vulnerabile policykit-1 non è installato sulle immagini Ubuntu utilizzate dalle versioni attuali e precedenti di GKE su AWS. | Nessuno |
GKE Enterprise su
Descrizione | Gravità |
---|---|
In pkexec, una parte del pacchetto polkit (Linux Policy Kit), è stata scoperta una vulnerabilità di sicurezza CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio. La configurazione predefinita di GKE Enterprise offre già agli utenti il "sudo" completo i privilegi, quindi questo exploit non modifica la strategia di sicurezza esistente di GKE Enterprise Dettagli tecniciAffinché questo bug possa essere sfruttato, un malintenzionato deve avere una shell non root sul file system del nodo e aver installato la versione vulnerabile di pkexec. Sebbene GKE su Azure includa una versione di policykit-1 nelle sue immagini di rilascio, la configurazione predefinita di GKE Enterprise consente sudo senza password a chiunque abbia già accesso alla shell, quindi questa vulnerabilità non concede all'utente ulteriori privilegi di quelli di cui dispone già. Che cosa devo fare?Non è richiesta alcuna azione da parte tua. GKE su Azure non è interessato. |
Nessuno |
Cluster GKE su
Descrizione | Gravità |
---|---|
Google Distributed Cloud Virtual per Bare Metal potrebbe essere interessato a seconda dei pacchetti installati sul sistema operativo gestito dal cliente. Esegui la scansione delle immagini del sistema operativo e, se necessario, applica le patch. | Nessuno |
GCP-2022-002
Pubblicato: 01/02/2022Aggiornato: 07/03/2022
Riferimento: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Aggiornamento del 04/02/2022: sono state aggiunte sezioni per GKE su AWS e GKE su Azure. Aggiunti aggiornamenti dell'implementazione per GKE e GKE su VMware.
GKE
Ultimo aggiornamento: 07/03/2022
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, ognuna delle quali può portare a un'estrazione dal container, a un'escalation dei privilegi sull'host o a entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per ulteriori dettagli, consulta le note di rilascio di COS. Dettagli tecniciIn CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema CVE-2021-22600 è un doppio exploit gratuito in package_set_ring che può portare a un container di escape al nodo host. Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può causare un errore fuori dai limiti che causeranno una container breakout. Il percorso di sfruttamento di questa vulnerabilità basato sulla funzione di "annullamento della condivisione" syscall è bloccati per impostazione predefinita sui cluster GKE Autopilot tramite filtro seccomp. Sono protetti anche gli utenti che hanno abilitato manualmente il profilo seccomp del runtime del contenitore predefinito sui cluster GKE Standard. Che cosa devo fare?Aggiornamento del 07/03/2022: le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere tutte queste vulnerabilità sia per le immagini Ubuntu che per quelle COS. Esegui l'upgrade del piano di controllo e dei nodi a uno dei seguenti le versioni GKE.
Aggiornamento 25/02/2022: se utilizzi immagini dei nodi Ubuntu, 1.22.6-gke.1000 non è un indirizzo CVE-2021-22600. Aggiorneremo questo bollettino con le versioni delle patch di Ubuntu quando disponibili. Aggiornamento 23/02/2022: le versioni delle immagini dei nodi Linux per i seguenti di GKE sono state aggiornate con codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE.
Aggiornamento del 04/02/2022: la data di inizio dell'implementazione delle versioni con patch di GKE è stata il 2 febbraio. Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE.
Sono in corso anche le versioni 1.22 e 1.23. Aggiorneremo questo bollettino con le versioni specifiche non appena saranno disponibili. Quale vulnerabilità viene affrontata da questa patch? |
Alta |
Cluster GKE su
Ultimo aggiornamento: 23/02/2022
Descrizione | Gravità |
---|---|
Tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, nel kernel Linux, ognuno dei quali può portare a una container breakout, a un'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (attuale e generazione precedente) e GKE su Azure. Per ulteriori dettagli, consulta le note di rilascio di COS. Dettagli tecniciIn CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema CVE-2021-22600 è un doppio exploit gratuito in package_set_ring che può portare a un container di escape al nodo host. Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può causare un errore fuori dai limiti che causeranno una container breakout. Gli utenti con è abilitato manualmente il profilo seccomp del runtime del container predefinito sui cluster GKE Standard. Che cosa devo fare?Aggiornamento del 23 febbraio 2022: la versione 1.10.2 (corregge CVE-2021-22600, CVE-2021-4154 e CVE-2022-0185) è ora programmata per il 1° marzo. Aggiornamento del 23/02/2022: sono state aggiunte le versioni con patch che risolvono il problema CVE-2021-2260. La versione 1.10.1 non risolve la vulnerabilità CVE-2021-22600, ma risolve le altre vulnerabilità. Le versioni 1.9.4 e 1.10.2, entrambe non ancora rilasciate, CVE-2021-22600. Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade del tuo in una delle seguenti versioni di GKE on VMware:
Aggiornamento del 04/02/2022: sono state aggiunte informazioni sulle immagini Ubuntu che non risolvono CVE-2021-22600. Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE on VMware sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni GKE on VMware:
Quale vulnerabilità viene affrontata da questa patch? |
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
Tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, nel kernel Linux, ognuno dei quali può portare a una container breakout, a un'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (attuale e generazione precedente) e GKE su Azure. Per ulteriori dettagli, consulta le note di rilascio di COS. Dettagli tecniciIn CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema CVE-2021-22600 è un exploit di doppio sblocco in packet_set_ring che può portare a un attacco di container escape sul nodo host. Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può portare a una scrittura fuori limite che causerà un'estrazione dal contenitore. Sono protetti anche gli utenti che hanno abilitato manualmente il profilo seccomp del runtime del contenitore predefinito sui cluster GKE Standard. Che cosa devo fare?GKE su AWSLe versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster alla seguente versione di GKE su AWS:
GKE su AWS (generazione precedente)Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su AWS (generazione precedente) sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni di GKE su AWS (generazione precedente):
Quale vulnerabilità viene affrontata da questa patch? |
Alta |
GKE Enterprise
Descrizione | Gravità |
---|---|
Nel kernel Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, ognuna delle quali può portare a un'estrazione dal container, a un'escalation dei privilegi sull'host o a entrambi. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (generazione attuale e precedente) e GKE su Azure. Per ulteriori dettagli, consulta le note di rilascio di COS. Dettagli tecniciIn CVE-2021-4154, un utente malintenzionato può sfruttare il parametro di chiamata di sistema CVE-2021-22600 è un exploit di doppio sblocco in packet_set_ring che può portare a un attacco di container escape sul nodo host. Con CVE-2022-0185, un bug di overflow dell'heap in legacy_parse_param() può causare un errore fuori dai limiti che causeranno una container breakout. Gli utenti con è abilitato manualmente il profilo seccomp del runtime del container predefinito sui cluster GKE Standard. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE su Azure sono state aggiornate con il codice per correggere queste vulnerabilità. Esegui l'upgrade dei cluster alla seguente versione di GKE su Azure:
Quale vulnerabilità viene affrontata da questa patch? |
Alta |
GCP-2021-024
Pubblicato il: 21/10/2021Riferimento: CVE-2021-25742
GKE
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nel controller ingress-nginx di Kubernetes, CVE-2021-25742. Gli snippet personalizzati di Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi. Che cosa devo fare?Questo problema di sicurezza non interessa il tuo cluster GKE. infrastruttura o qualsiasi infrastruttura cluster di ambienti GKE Enterprise. Se utilizzi ingress-nginx nei tuoi deployment dei carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Consulta: ingress-nginx numero 7837 per maggiori dettagli. |
Nessuno |
Cluster GKE su
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza in ingress-nginx di Kubernetes. un controller, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token degli account di servizio ingress-nginx. i secret in tutti gli spazi dei nomi. Che cosa devo fare?Questo problema di sicurezza non interessa il tuo cluster GKE. infrastruttura o qualsiasi infrastruttura cluster di ambienti GKE Enterprise. Se utilizzi ingress-nginx nei tuoi deployment dei carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Per ulteriori dettagli, consulta il problema 7837 di ingress-nginx. |
Nessuno |
Cluster GKE su
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nel controller ingress-nginx di Kubernetes, CVE-2021-25742. Gli snippet personalizzati di Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi. Che cosa devo fare?Questo problema di sicurezza non interessa il tuo cluster GKE. infrastruttura o qualsiasi infrastruttura cluster di ambienti GKE Enterprise. Se utilizzi ingress-nginx nei deployment dei carichi di lavoro, è bene essere a conoscenza di questo problema di sicurezza. Consulta: ingress-nginx numero 7837 per maggiori dettagli. |
Nessuno |
Cluster GKE su
Descrizione | Gravità |
---|---|
È stato rilevato un problema di sicurezza nel controller ingress-nginx di Kubernetes, CVE-2021-25742. Gli snippet personalizzati Ingress-nginx consentono di recuperare i token degli account di servizio ingress-nginx. i secret in tutti gli spazi dei nomi. Che cosa devo fare?Questo problema di sicurezza non influisce sull'infrastruttura del cluster GKE o su qualsiasi infrastruttura del cluster degli ambienti GKE Enterprise. Se utilizzi ingress-nginx nei tuoi deployment dei carichi di lavoro, devi essere a conoscenza di questo problema di sicurezza. Consulta: ingress-nginx numero 7837 per maggiori dettagli. |
Nessuno |
GCP-2021-019
Pubblicato il 29/09/2021GKE
Descrizione | Gravità |
---|---|
Si è verificato un problema noto per cui l'aggiornamento di una risorsa Sono interessato?Se kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Questo problema riguarda le seguenti versioni di GKE:
Se non configuri Google Cloud Armor nelle risorse Ingress tramite Che cosa devo fare?Esegui l'upgrade del piano di controllo GKE a una delle seguenti versioni aggiornate che
il problema viene risolto e consente a
Questo problema può essere evitato anche evitando il deployment di Per evitare questo problema, esegui aggiornamenti a Poiché Il seguente manifest di esempio descrive una risorsa apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Se disponi di sistemi o strumenti CI/CD che aggiornano regolarmente le risorse di |
Bassa |
GCP-2021-022
Pubblicato il 23/09/2021Cluster GKE su
Descrizione | Gravità |
---|---|
È stata rilevata una vulnerabilità nel servizio di identità GKE Enterprise (AIS) Modulo LDAP di GKE on VMware versioni 1.8 e 1.8.1 dove una la chiave seed utilizzata per generare le chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere rivendicazioni arbitrarie ed eseguire l'escalation dei privilegi a tempo indeterminato. Dettagli tecniciUna recente aggiunta al codice AIS crea chiavi simmetriche utilizzando il metodo math/rand, che non è adatto per codici sensibili alla sicurezza. Il modulo viene utilizzato in modo da generare una chiave prevedibile. Durante la verifica dell'identità, una chiave STS (Secure Token Service) generata in un secondo momento, criptata con una chiave simmetrica semplici da ricavare. Che cosa devo fare?Questa vulnerabilità riguarda solo i clienti che utilizzano AIS in GKE on VMware versioni 1.8 e 1.8.1. Per gli utenti di GKE on VMware 1.8, esegui l'upgrade dei cluster alla seguente versione:
|
Alta |
GCP-2021-021
Pubblicato il 22/09/2021Riferimento: CVE-2020-8561
GKE
Descrizione | Gravità |
---|---|
Una vulnerabilità di sicurezza, CVE-2020-8561,
in Kubernetes, dove è possibile creare determinati webhook
reindirizza le richieste Dettagli tecniciCon questa vulnerabilità, gli autori che controllano le risposte
Questo problema può essere attenuato modificando determinati parametri per il server API. Che cosa devo fare?Al momento non è richiesta alcuna azione. Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:
Quale vulnerabilità viene affrontata da questa patch?<pCVE-2020-8561 </p |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Una vulnerabilità di sicurezza, CVE-2020-8561,
in Kubernetes, dove è possibile creare determinati webhook
reindirizza le richieste Dettagli tecniciCon questa vulnerabilità, gli autori che controllano le risposte
Questo problema può essere attenuato modificando determinati parametri per il server API. Che cosa devo fare?Al momento non è richiesta alcuna azione. Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:
Quale vulnerabilità viene affrontata da questa patch?<pCVE-2020-8561 </p |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Una vulnerabilità di sicurezza, CVE-2020-8561,
in Kubernetes, dove è possibile creare determinati webhook
reindirizza le richieste Dettagli tecniciCon questa vulnerabilità, gli autori che controllano le risposte
Questo problema può essere attenuato modificando determinati parametri per il server API. Che cosa devo fare?Al momento non è richiesta alcuna azione. Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:
Quale vulnerabilità viene affrontata da questa patch?<pCVE-2020-8561 </p |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, che consente di creare determinati webhook per reindirizzare le richieste Dettagli tecniciCon questa vulnerabilità, gli autori che controllano le risposte
Questo problema può essere attenuato modificando determinati parametri per il server API. Che cosa devo fare?Al momento non è richiesta alcuna azione. Le versioni attualmente disponibili di GKE e GKE Enterprise hanno implementato le seguenti mitigazioni che proteggono da questo tipo di attacco:
Quale vulnerabilità viene affrontata da questa patch?<pCVE-2020-8561 </p |
Media |
GCP-2021-018
Pubblicato il: 15/09/2021Aggiornato il: 24/09/2021
Riferimento: CVE-2021-25741
Aggiornamento 24/09/2021: bollettino GKE on Bare Metal aggiornato con altre versioni con patch.
Aggiornamento 20/09/2021: bollettini aggiunti per GKE su Bare Metal
Aggiornamento del 16/09/2021: bollettini aggiunti per GKE su VMware
GKE
Descrizione | Gravità |
---|---|
È stato scoperto un problema di sicurezza in Kubernetes, CVE-2021-25741, per cui un utente potrebbe essere in grado di creare un container con montaggi di volume del sottopercorso per accedere a file e directory al di fuori del volume, incluso il file system dell'host. Dettagli tecnici:In CVE-2021-25741, l’aggressore può creare un link simbolico da un campo emptyDir montato file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e montare la radice dell'host nel container.Che cosa devo fare?Ti consigliamo di eseguire l'upgrade dei tuoi pool di nodi a una delle versioni seguenti o successive per sfruttare le patch più recenti:
La correzione è presente anche nelle seguenti versioni:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stato scoperto un problema di sicurezza in Kubernetes, CVE-2021-25741, per cui un utente potrebbe essere in grado di creare un container con montaggi di volume del sottopercorso per accedere a file e directory al di fuori del volume, incluso il file system dell'host. Dettagli tecnici:In CVE-2021-25741, l’aggressore può creare un link simbolico da un campo emptyDir montato file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e montare la radice dell'host nel container.Che cosa devo fare?Aggiornamento del 24-09-2021: le versioni con patch 1.8.3 e 1.7.4 sono ora disponibili. Aggiornamento del 17-09-2021: è stato corretto l'elenco delle versioni disponibili che contengono la patch. Le seguenti versioni di GKE on VMware sono state aggiornate con codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e dei cluster utente a una delle seguenti versioni:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stato scoperto un problema di sicurezza in Kubernetes, CVE-2021-25741, per cui un utente potrebbe essere in grado di creare un container con montaggi di volume del sottopercorso per accedere a file e directory al di fuori del volume, incluso il file system dell'host. Dettagli tecnici:In CVE-2021-25741, l’aggressore può creare un link simbolico da un campo emptyDir montato file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e montare la radice dell'host nel container.Che cosa devo fare?Aggiornamento del 16/09/2021: è stato aggiunto un elenco di versioni gke supportate per gli oggetti Le seguenti versioni di GKE su AWS sono state aggiornate con per correggere questa vulnerabilità. Ti consigliamo di:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stato scoperto un problema di sicurezza in Kubernetes, CVE-2021-25741, per cui un utente potrebbe essere in grado di creare un container con montaggi di volume del sottopercorso per accedere a file e directory al di fuori del volume, incluso il file system dell'host. Dettagli tecnici:In CVE-2021-25741, l’aggressore può creare un link simbolico da un campo emptyDir montato file system radice del nodo ( / ), il kubelet seguirà il collegamento simbolico e montare la radice dell'host nel container.Che cosa devo fare?Le seguenti versioni di GKE on Bare Metal sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster di amministrazione e dei cluster utente a una delle seguenti versioni:
|
Alta |
GCP-2021-017
Pubblicato il 01/09/2021Ultimo aggiornamento: 23/09/2021
Riferimento: CVE-2021-33909
CVE-2021-33910
GKE
Descrizione | Gravità |
---|---|
Aggiornamento del 23/09/2021:Container in esecuzione all'interno di GKE Sandbox non sono interessate da questa vulnerabilità per gli attacchi che hanno origine all'interno del container. Aggiornamento del 15/09/2021:Le seguenti versioni di GKE risolvono le vulnerabilità:
Due vulnerabilità di sicurezza: CVE-2021-33909 e CVE-2021-33910, sono state rilevati nel kernel Linux che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting mediante un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu). Dettagli tecnici:In CVE-2021-33909, il livello del file system del kernel di Linux non limita correttamente le allocazioni degli buffer seq, causando un overflow di interi, una scrittura fuori limite e la riassegnazione a root. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per le seguenti versioni di GKE sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono portare a un arresto anomalo del sistema operativo o a un'escalation a utente root da parte di un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu). Dettagli tecnici:In CVE-2021-33909, il valore
Il livello di file system del kernel Linux non limita correttamente le allocazioni del buffer seq, causando
a un overflow di numeri interi, una scrittura fuori dai limiti e una riassegnazione a root. Che cosa devo fare?Le versioni delle immagini dei nodi Linux per GKE su AWS sono state aggiornate con codice
per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
Due vulnerabilità di sicurezza: CVE-2021-33909 e CVE-2021-33910, sono state rilevati nel kernel Linux che possono causare un arresto anomalo del sistema operativo o un'escalation al rooting mediante un utente senza privilegi. Questa vulnerabilità interessa tutti i sistemi operativi dei nodi GKE (COS e Ubuntu). Dettagli tecnici:In CVE-2021-33909, il livello del file system del kernel di Linux non limita correttamente le allocazioni degli buffer seq, causando un overflow di interi, una scrittura fuori limite e la riassegnazione a root. Che cosa devo fare?Le versioni delle immagini dei nodi Linux e COS per GKE su VMware sono state aggiornate con il codice
per correggere questa vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni:
Consulta: Cronologia delle versioni: Kubernetes e versioni del kernel dei nodi. |
Alta |
GCP-2021-015
Pubblicato: 13/07/2021Ultimo aggiornamento: 15/07/2021
Riferimento: CVE-2021-22555
GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555,
in cui un attore malintenzionato con privilegi Dettagli tecnici
In questo attacco, una scrittura fuori limite in Che cosa devo fare?Le seguenti versioni di Linux su GKE sono state aggiornate con il codice da correggere vulnerabilità. Esegui l'upgrade dei cluster a una delle seguenti versioni:
Quale vulnerabilità viene affrontata da questa patch? |
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555,
in cui un attore malintenzionato con privilegi Dettagli tecnici
In questo attacco, una scrittura fuori limite in Che cosa devo fare?Le seguenti versioni di Linux su GKE su VMware sono state aggiornate con il codice da correggere vulnerabilità. Esegui l'upgrade dei cluster a una delle versioni seguenti:
Quale vulnerabilità viene affrontata da questa patch? |
Alta |
GCP-2021-014
Pubblicato il: 05/07/2021Riferimento: CVE-2021-34527
GKE
Descrizione | Gravità |
---|---|
Microsoft ha pubblicato un bollettino sulla sicurezza su una vulnerabilità RCE (Remote code Execution ), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, denominata "PrintNightmare", che interessa anche gli spooler di stampa di Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability Che cosa devo fare?Non è richiesta alcuna azione da parte tua. I nodi Windows di GKE non contengono il servizio Spooler interessato come parte dell'immagine di base, quindi i deployment GKE Windows non sono vulnerabili a questo attacco. Quali vulnerabilità vengono affrontate da questo bollettino?
|
Alta |
GCP-2021-012
Pubblicato il 01/07/2021Ultimo aggiornamento: 09/07/2021
Riferimento: CVE-2021-34824
GKE
Descrizione | Gravità |
---|---|
Che cosa devo fare?Il progetto Istio dichiarato di recente una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto in cui è possibile accedere alle credenziali specificate nel campo credentialName di Gateway e DestinationRule da diversi spazi dei nomi. Dettagli tecnici:Il gateway sicuro Istio o i carichi di lavoro che utilizzano DestinationRule possono caricare chiavi private e certificati TLS dai secret di Kubernetes tramite la configurazione credentialName. A partire da Istio 1.8, i secret vengono letti da Istio e trasmessi a gateway e carichi di lavoro tramite XDS. In genere, un deployment di un gateway o di un carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private memorizzati nel segreto all'interno del proprio spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod. Che cosa devo fare?I cluster GKE non eseguono Istio per impostazione predefinita e, se abilitato, utilizzano la versione 1.6 di Istio, che non è vulnerabile a questo attacco. Se hai installato o eseguito l'upgrade di Istio sul cluster a Istio 1.8 o versioni successive, esegui l'upgrade di Istio all'ultima versione supportata. |
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
Che cosa devo fare?Di recente il progetto Istio ha divulgato una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto in cui è possibile accedere alle credenziali specificate nel campo credentialName di Gateway e DestinationRule da diversi spazi dei nomi. Dettagli tecnici:Il gateway sicuro Istio o i carichi di lavoro che utilizzano DestinationRule possono caricare le chiavi private e i certificati TLS dai secret di Kubernetes tramite la configurazione credentialName. A partire da Istio 1.8, i secret vengono letti da Istio e trasmessi a gateway e carichi di lavoro tramite XDS. In genere, un deployment di un gateway o di un carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private memorizzati nel segreto all'interno del proprio spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod. Che cosa devo fare?Anthos clusters on VMware 1.6 e 1.7 non sono vulnerabili a questo attacco. Anthos clusters on VMware v1.8 sono vulnerabili. Se utilizzi Cluster Anthos su VMware v1.8, esegui l'upgrade alla seguente versione con patch o successiva:
|
Alta |
dei cluster GKE
Descrizione | Gravità |
---|---|
Che cosa devo fare?Di recente il progetto Istio ha divulgato una nuova vulnerabilità di sicurezza (CVE-2021-34824) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto in cui è possibile accedere alle credenziali specificate nel campo credentialName di Gateway e DestinationRule da diversi spazi dei nomi. Dettagli tecnici:Il gateway sicuro Istio o i carichi di lavoro che utilizzano DestinationRule possono caricare chiavi private e certificati TLS dai secret di Kubernetes tramite la configurazione credentialName. A partire da Istio 1.8, i secret vengono letti da Istio e trasmessi a gateway e carichi di lavoro tramite XDS. Normalmente, un deployment di gateway o carico di lavoro è in grado di accedere solo ai certificati TLS e alle chiavi private archiviati nel secret all'interno del relativo spazio dei nomi. Tuttavia, un bug in istiod consente a un client autorizzato ad accedere all'API Istio XDS di recuperare qualsiasi certificato TLS e chiavi private memorizzate nella cache in istiod. I cluster creati o di cui è stato eseguito l'upgrade con Anthos clusters on bare metal 1.8.0 sono interessati da questa CVE. Che cosa devo fare?Anthos 1.6 e 1.7 non sono vulnerabili a questo attacco. Se disponi di cluster v1.8.0, scarica e installa la versione 1.8.1 di bmctl ed esegui l'upgrade dei cluster alla seguente versione con patch:
|
Alta |
GCP-2021-011
Pubblicato: 04/06/2021Aggiornato: 19/10/2021
Riferimento: CVE-2021-30465
Aggiornamento del 19/10/2021: sono stati aggiunti bollettini per GKE su VMware, GKE su AWS e GKE on Bare Metal.
GKE
Descrizione | Gravità |
---|---|
La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
trovato in Per GKE, perché lo sfruttamento di questa vulnerabilità richiede la capacità di creare pod, abbiamo valutato la gravità di questa vulnerabilità come MEDIO. Dettagli tecnici
Il pacchetto Per questo specifico attacco, un utente può potenzialmente sfruttare una race condition iniziando più pod su un singolo nodo contemporaneamente, tutti condividono lo stesso montaggio di volume un collegamento simbolico. Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con autorizzazioni aggiuntive. Che cosa devo fare?È disponibile una patch di recente rilascio per Esegui l'upgrade del cluster GKE a una delle seguenti versioni aggiornate:
|
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
trovato in Per GKE su VMware, perché lo sfruttamento di questa vulnerabilità richiede la capacità di creare pod, abbiamo valutato la gravità di questa vulnerabilità come MEDIO. Dettagli tecnici
Il pacchetto Per questo specifico attacco, un utente può potenzialmente sfruttare una race condition iniziando più pod su un singolo nodo contemporaneamente, tutti condividono lo stesso montaggio di volume un collegamento simbolico. Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con autorizzazioni aggiuntive. Che cosa devo fare?È disponibile una patch appena rilasciata per
|
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
La community per la sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
trovato in Poiché si tratta di una vulnerabilità a livello di sistema operativo, GKE su AWS non vulnerabili. Dettagli tecnici
Il pacchetto Per questo specifico attacco, un utente può potenzialmente sfruttare una race condition iniziando più pod su un singolo nodo contemporaneamente, tutti condividono lo stesso montaggio di volume un collegamento simbolico. Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con autorizzazioni aggiuntive. Che cosa devo fare?Assicurati di eseguire l'upgrade della versione del sistema operativo su cui esegui GKE su AWS alla versione più recente del sistema operativo con un pacchettorunc aggiornato.
|
Nessuno |
Cluster GKE su
Descrizione | Gravità |
---|---|
La community di sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza
(CVE-2021-30465)
trovata in Poiché si tratta di una vulnerabilità a livello di sistema operativo, GKE on Bare Metal non vulnerabili. Dettagli tecnici
Il pacchetto Per questo specifico attacco, un utente può potenzialmente sfruttare una race condition iniziando più pod su un singolo nodo contemporaneamente, tutti condividono lo stesso montaggio di volume un collegamento simbolico. Se l'attacco ha esito positivo, uno dei pod monta il file system del nodo con autorizzazioni aggiuntive. Che cosa devo fare?
Assicurati di eseguire l'upgrade della versione del sistema operativo su cui è in esecuzione Google Distributed Cloud Virtual for Bare Metal alla versione più recente del sistema operativo con un pacchetto |
Nessuno |
GCP-2021-006
Pubblicato: 11/05/2021Riferimento: CVE-2021-31920
GKE
Descrizione | Gravità |
---|---|
Di recente il progetto Istio ha divulgato una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio. Istio contiene una vulnerabilità sfruttabile da remoto in cui una richiesta HTTP con più barre o caratteri barra emessi può aggirare il criterio di autorizzazione di Istio quando vengono utilizzate regole di autorizzazione basate sul percorso. Che cosa devo fare?Ti consigliamo vivamente di aggiornare e riconfigurare i tuoi cluster GKE. Tieni presente che è importante completare entrambi i passaggi riportati di seguito per risolvere correttamente la vulnerabilità:
|
Alta |
GCP-2021-004
Pubblicato il: 06/05/2021Riferimento: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
Descrizione | Gravità |
---|---|
I progetti Envoy e Istio hanno annunciato di recente diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbe consentire a un aggressore di provocare l'arresto anomalo di Envoy. I cluster GKE non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato per esporre i servizi a internet, questi servizi potrebbero essere vulnerabili a un attacco di tipo denial of service. Che cosa devo fare?Per correggere queste vulnerabilità, esegui l'upgrade del piano di controllo GKE a una delle seguenti versioni con patch:
|
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy. GKE su VMware utilizza Envoy per impostazione predefinita per Ingress, quindi i servizi Ingress potrebbero essere vulnerabili agli attacchi denial of service. Che cosa devo fare?Per correggere queste vulnerabilità, esegui l'upgrade di GKE on VMware a una delle seguenti opzioni versioni con patch al momento del rilascio:
|
Media |
dei cluster GKE
Ultimo aggiornamento: 06/05/2021
Descrizione | Gravità |
---|---|
I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy. Google Distributed Cloud Virtual for Bare Metal utilizza Envoy per impostazione predefinita per Ingress, pertanto i servizi Ingress potrebbero essere vulnerabili a un attacco di tipo denial of service. Che cosa devo fare?Per correggere queste vulnerabilità, esegui l'upgrade del cluster Google Distributed Cloud Virtual for Bare Metal a uno delle seguenti versioni con patch al momento del rilascio:
|
Media |
GCP-2021-003
Pubblicato il: 19/04/2021Riferimento: CVE-2021-25735
GKE
Descrizione | Gravità |
---|---|
Di recente il progetto Kubernetes ha annunciato una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di ammissione con convalida. In uno scenario in cui un aggressore dispone di privilegi sufficienti e in cui un
È implementato il webhook di ammissione che utilizza le vecchie proprietà dell'oggetto Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del cluster GKE a una delle seguenti versioni con patch:
|
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Il progetto Kubernetes di recente ha annunciato una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione. In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di ammissione con convalida che utilizza le vecchie proprietà dell'oggetto Che cosa devo fare?Una versione imminente della patch includerà una mitigazione per questa vulnerabilità. |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Di recente il progetto Kubernetes ha annunciato una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di ammissione con convalida. In uno scenario in cui un aggressore dispone di privilegi sufficienti e in cui un
È implementato il webhook di ammissione che utilizza le vecchie proprietà dell'oggetto Che cosa devo fare?Una versione imminente della patch includerà una mitigazione per questa vulnerabilità. |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Il progetto Kubernetes di recente ha annunciato una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di convalida di ammissione. In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di ammissione con convalida che utilizza le vecchie proprietà dell'oggetto Che cosa devo fare?Una versione imminente della patch includerà una mitigazione per questa vulnerabilità. |
Media |
GCP-2021-001
Pubblicato il 28/01/2021Riferimento: CVE-2021-3156
GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità Linux I cluster Google Kubernetes Engine (GKE) non sono interessati da questa vulnerabilità:
Che cosa devo fare?Poiché i cluster GKE non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. La patch per questa vulnerabilità verrà applicata a GKE in una release imminente con cadenza regolare. |
Nessuno |
Cluster GKE su
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità Linux GKE on VMware non è interessato da questa vulnerabilità:
Che cosa devo fare?Poiché i cluster GKE su VMware non sono interessati da questa vulnerabilità, non sono richieste ulteriori azioni. La patch per questa vulnerabilità verrà applicata a GKE on VMware in una release imminente con cadenza regolare. |
Nessuno |
Cluster GKE su
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità Linux GKE su AWS non è interessato da questa vulnerabilità:
Che cosa devo fare?Poiché GKE su cluster AWS non è interessato da questa vulnerabilità, non è necessaria un'azione specifica. La patch per questa vulnerabilità verrà applicata a GKE su AWS in una release futura a una cadenza regolare. |
Nessuno |
Cluster GKE su
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nell'utilità I cluster Google Distributed Cloud Virtual for Bare Metal non sono interessati da questa vulnerabilità:
Che cosa devo fare?Poiché i cluster Google Distributed Cloud Virtual for Bare Metal non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni. La patch per questa vulnerabilità verrà applicata a Google Distributed Cloud Virtual for Bare Metal in una release futura a una cadenza regolare. |
Nessuno |
GCP-2020-015
Pubblicato il 07/12/2020Ultimo aggiornamento: 22/12/2021
Riferimento: CVE-2020-8554
Aggiornamento del 22/12/2021: utilizza gcloud beta
anziché lo
Comando gcloud
.
Aggiornamento del 15/12/2021: aggiunta ulteriore mitigazione per GKE.
GKE
Descrizione | Gravità |
---|---|
Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente
dovrebbe usare gcloud beta anziché il comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Aggiornamento del 15/12/2021 Per GKE, ora è disponibile la seguente misura di mitigazione:
Per ulteriori informazioni, consulta Rafforzamento della sicurezza del cluster. Il progetto Kubernetes rilevato di recente una nuova vulnerabilità, CVE-2020-8554, che potrebbero consentire a un utente malintenzionato che ha ottenuto le autorizzazioni di creare un servizio Kubernetes digita LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod in nel cluster. Questa vulnerabilità da sola non concede agli utenti malintenzionati le autorizzazioni necessarie per per creare un servizio Kubernetes. Tutti i cluster Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità. Che cosa devo fare?In una versione futura, Kubernetes potrebbe dover apportare modifiche alla progettazione incompatibili con le versioni precedenti risolvere la vulnerabilità. Se molti utenti condividono l'accesso al tuo cluster con autorizzazioni per creare servizi, ad esempio in un cluster multi-tenant, valuta la possibilità di applicare una misura di mitigazione nel frattempo. Per ora, le migliori per la mitigazione è limitare l'uso di ExternalIP in un cluster. Gli IP esterni non sono una funzionalità di uso comune. Limita l'uso degli IP esterni in un cluster con uno dei utilizza i seguenti metodi:
Come indicato nel
Annuncio di Kubernetes,
non viene fornita alcuna mitigazione per i servizi di tipo LoadBalancer perché, per impostazione predefinita, vengono fornite
agli utenti con privilegi e ai componenti di sistema |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente
dovrebbe usare gcloud beta anziché il comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Aggiornamento del 15/12/2021 Per GKE, ora è disponibile la seguente misura di mitigazione:
Per ulteriori informazioni, vedi Rafforzamento della sicurezza del cluster. Il progetto Kubernetes ha recentemente scoperto una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di type LoadBalancer o ClusterIP di intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità da sola non concede all'utente malintenzionato le autorizzazioni per creare un servizio Kubernetes. Tutti i GKE su VMware sono interessati da questa vulnerabilità. Che cosa devo fare?In una versione futura, Kubernetes potrebbe dover apportare modifiche alla progettazione incompatibili con le versioni precedenti risolvere la vulnerabilità. Se molti utenti condividono l'accesso al tuo cluster con autorizzazioni per creare servizi, ad esempio in un cluster multi-tenant, valuta la possibilità di applicare una misura di mitigazione nel frattempo. Per ora, le migliori per la mitigazione è limitare l'uso di ExternalIP in un cluster. Gli IP esterni non sono una funzionalità di uso comune. Limita l'utilizzo di indirizzi IP esterni in un cluster con uno dei seguenti metodi:
Come indicato nell'annuncio di Kubernetes, non è prevista alcuna misura di mitigazione per i servizi di tipo LoadBalancer perché, per impostazione predefinita, solo gli utenti con privilegi elevati e i componenti di sistema ricevono l'autorizzazione |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente
dovrebbe usare gcloud beta anziché il comando gcloud .
gcloud beta container clusters update –no-enable-service-externalips Aggiornamento: 15/12/2021 Per GKE, la seguente mitigazione è ora disponibili:
Per ulteriori informazioni, vedi Rafforzamento della sicurezza del cluster. Il progetto Kubernetes rilevato di recente una nuova vulnerabilità, CVE-2020-8554, che potrebbero consentire a un utente malintenzionato che ha ottenuto le autorizzazioni di creare un servizio Kubernetes digita LoadBalancer o ClusterIP per intercettare il traffico di rete proveniente da altri pod in nel cluster. Questa vulnerabilità da sola non concede all'utente malintenzionato le autorizzazioni per creare un servizio Kubernetes. Tutti i servizi GKE su AWS sono interessati da questa vulnerabilità. Che cosa devo fare?In una versione futura, Kubernetes potrebbe dover apportare modifiche alla progettazione incompatibili con le versioni precedenti risolvere la vulnerabilità. Se molti utenti condividono l'accesso al tuo cluster con autorizzazioni per creare servizi, ad esempio in un cluster multi-tenant, valuta la possibilità di applicare una misura di mitigazione nel frattempo. Per ora, le migliori per la mitigazione è limitare l'uso di ExternalIP in un cluster. Gli IP esterni non sono una funzionalità di uso comune. Limita l'uso degli IP esterni in un cluster con uno dei utilizza i seguenti metodi:
Come indicato nel
Annuncio di Kubernetes,
non viene fornita alcuna mitigazione per i servizi di tipo LoadBalancer perché, per impostazione predefinita, vengono fornite
agli utenti con privilegi e ai componenti di sistema |
Media |
GCP-2020-014
Pubblicato il: 20/10/2020Riferimento: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Aggiornato: 20/10/2020
Descrizione | Gravità |
---|---|
Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione dei dati secret quando sono abilitate opzioni di logging dettagliato. I problemi sono:
GKE non è interessato. Che cosa devo fare?Non sono necessarie ulteriori azioni a causa dei livelli di logging della verbosità predefiniti di GKE. |
Nessuno |
dei cluster GKE
Ultimo aggiornamento: 10/10/2020
Descrizione | Gravità |
---|---|
Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione di dati riservati quando sono abilitate le opzioni di registrazione dettagliata. I problemi sono:
GKE on VMware non è interessato. Che cosa devo fare?Non sono necessarie ulteriori azioni a causa dei livelli di logging della verbosità predefiniti di GKE. |
Nessuno |
Cluster GKE su
Aggiornato: 20/10/2020
Descrizione | Gravità |
---|---|
Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione di dati riservati quando sono abilitate le opzioni di registrazione dettagliata. I problemi sono:
GKE su AWS non è interessato. Che cosa devo fare?Non sono necessarie ulteriori azioni a causa dei livelli di logging della verbosità predefiniti di GKE. |
Nessuno |
GCP-2020-012
Pubblicato il: 14/09/2020Riferimento: CVE-2020-14386
GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che può consentire al container escape di ottenere i privilegi root sul nodo host. Sono interessati tutti i nodi GKE. Pod in esecuzione GKE Sandbox non sono in grado di sfruttare questa vulnerabilità. Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade il piano di controllo, quindi i nodi a una delle versioni con patch elencate di seguito:
Lo sfruttamento di questa vulnerabilità richiede Rimuovi la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: La vulnerabilità CVE-2020-14386,
che consente ai container con |
Alta |
Cluster GKE su
Aggiornato: 17-09-2020
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che può consentire al container escape di ottenere i privilegi root sul nodo host. Tutti i nodi GKE on VMware sono interessati. Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni imminenti di {gke_on_prem_name} conterranno la correzione per questa vulnerabilità e questo bollettino verrà aggiornato quando saranno disponibili:
Lo sfruttamento di questa vulnerabilità richiede Elimina la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: La vulnerabilità CVE-2020-14386,
che consente ai container con |
Alta |
Cluster GKE su
Ultimo aggiornamento: 13/10/2020
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che può consentire al container escape di ottenere i privilegi root sul nodo host. Tutti i nodi GKE su AWS sono interessati. Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del tuo servizio di gestione dei dati e cluster utente a una versione con patch. Le seguenti versioni future di GKE su AWS o più recenti includeranno la correzione per vulnerabilità e il bollettino verrà aggiornato non appena sarà disponibile:
Rimuovi la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: La vulnerabilità CVE-2020-14386,
che consente ai container con |
Alta |
GCP-2020-011
Pubblicato il 24/07/2020Riferimento: CVE-2020-8558
GKE
Descrizione | Gravità |
---|---|
Una vulnerabilità di rete, CVE-2020-8558, di recente scoperta in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster per inviare traffico al loopback di pod e nodi adiacenti. Servizi che si basano sul loopback un'interfaccia non accessibile al di fuori del pod potrebbe essere sfruttata. Sfruttare questa vulnerabilità sui cluster GKE richiede che un utente malintenzionato disponga dei privilegi di amministratore di rete Google Cloud ospita il VPC del cluster. Questa vulnerabilità da sola non conferisce all'aggressore i privilegi di amministratore di rete. Per Per questo motivo, a questa vulnerabilità è stato assegnato un livello di gravità Bassa con GKE. Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade dei pool di nodi del cluster alle seguenti versioni di GKE (e successive):
Quale vulnerabilità viene affrontata da questa patch?Questa patch corregge la seguente vulnerabilità: CVE-2020-8558. |
Bassa |
Cluster GKE su
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità di rete, CVE-2020-8558, in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione all'interno dello stesso pod utilizzando (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster per inviare traffico al loopback di pod e nodi adiacenti. Servizi che si basano sul loopback un'interfaccia non accessibile al di fuori del pod potrebbe essere sfruttata. Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni imminenti di GKE on VMware o successive contengono la correzione di questa vulnerabilità:
Quale vulnerabilità viene affrontata da questa patch?Questa patch corregge la seguente vulnerabilità: CVE-2020-8558. |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità di rete, CVE-2020-8558, in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione nello stesso pod utilizzando l'interfaccia loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia loopback di pod e nodi adiacenti. I servizi che si basano sull'interfaccia loopback non accessibile al di fuori del pod potrebbero essere sfruttati. Per sfruttare questa vulnerabilità nei cluster utente, un utente malintenzionato deve disattivare
i controlli delle origini e delle destinazioni
sulle istanze EC2 del cluster. Per questo, l'attaccante deve disporre delle autorizzazioni IAM di AWS
per Che cosa devo fare?Per correggere questa vulnerabilità, esegui l'upgrade del cluster a una versione con patch. Le seguenti versioni imminenti di GKE su AWS o successive dovrebbero includere la correzione di questa vulnerabilità:
Quale vulnerabilità viene affrontata da questa patch?Questa patch corregge la seguente vulnerabilità: CVE-2020-8558. |
Bassa |
GCP-2020-009
Pubblicato il: 15/07/2020Riferimento: CVE-2020-8559
GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta in Kubernetes una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a un malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. In questo modo, l'attaccante può utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni distruttive. Tieni presente che, affinché un utente malintenzionato sfrutti questa vulnerabilità, un nodo nella deve essere già stato compromesso. Questa vulnerabilità, da sola, senza compromettere i nodi nel tuo cluster. Che cosa devo fare?Esegui l'upgrade del cluster a una versione con patch. I cluster saranno l'upgrade automatico nel corso delle prossime settimane e le versioni con patch disponibile entro il 19 luglio 2020 per un programma di upgrade manuale accelerato. Le seguenti versioni o versioni successive del piano di controllo GKE contengono la correzione di questa vulnerabilità:
Quale vulnerabilità viene affrontata da questa patch?Queste patch attenuano la vulnerabilità CVE-2020-8559. Questa è considerata una vulnerabilità mediana per GKE, in quanto richiede all'aggressore di disporre di informazioni di prima mano su cluster, nodi e carichi di lavoro per sfruttare efficacemente questo attacco, oltre a un nodo compromesso esistente. Questa vulnerabilità di per sé non fornisce un hacker con un nodo compromesso. |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Una vulnerabilità di escalation dei privilegi, CVE-2020-8559, di recente scoperta in Kubernetes. Questa vulnerabilità consente a che ha già compromesso un nodo per eseguire un comando in qualsiasi nel cluster. L’aggressore può quindi utilizzare il file nodo per compromettere altri nodi e potenzialmente leggere informazioni causare azioni distruttive. Tieni presente che, affinché un utente malintenzionato sfrutti questa vulnerabilità, un nodo nella deve essere già stato compromesso. Questa vulnerabilità, da sola, senza compromettere i nodi nel tuo cluster. Che cosa devo fare?Esegui l'upgrade del tuo a una versione con patch. I seguenti prossimi contenuti di GKE on VMware versioni o successive contengono la correzione per questa vulnerabilità:
Quale vulnerabilità viene affrontata da questa patch?Queste patch attenuano la vulnerabilità CVE-2020-8559. Questa è considerata una vulnerabilità mediana per GKE, in quanto richiede all'aggressore di disporre di informazioni di prima mano su cluster, nodi e carichi di lavoro per sfruttare efficacemente questo attacco, oltre a un nodo compromesso esistente. Questa vulnerabilità di per sé non fornisce un hacker con un nodo compromesso. |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Di recente è stata scoperta in Kubernetes una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a che ha già compromesso un nodo per eseguire un comando in qualsiasi nel cluster. In questo modo, l'attaccante può utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni distruttive. Tieni presente che, affinché un utente malintenzionato sfrutti questa vulnerabilità, un nodo nella deve essere già stato compromesso. Questa vulnerabilità, da sola, senza compromettere i nodi nel tuo cluster. Che cosa devo fare?GKE su AWS GA (1.4.1, disponibile a fine luglio 2020) oppure più recente include la patch per questa vulnerabilità. Se utilizzi un versione precedente, scarica una nuova versione dello strumento a riga di comando anthos-gke e ricreare i cluster di gestione e gli utenti. Quale vulnerabilità viene affrontata da questa patch?Queste patch attenuano la vulnerabilità CVE-2020-8559. Questa è considerata una vulnerabilità mediana per GKE, in quanto richiede all'aggressore di disporre di informazioni di prima mano su cluster, nodi e carichi di lavoro per sfruttare efficacemente questo attacco, oltre a un nodo compromesso esistente. Questa vulnerabilità di per sé non fornisce un hacker con un nodo compromesso. |
Media |
GCP-2020-007
Pubblicato il: 01/06/2020Riferimento: CVE-2020-8555
GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta in Kubernetes la vulnerabilità di falsificazione delle richieste lato server (SSRF), CVE-2020-8555, che consente a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade il piano di controllo all'ultima versione della patch, come descritto di seguito. Non è necessario eseguire l'upgrade dei nodi. Che cosa devo fare?Per la maggior parte dei clienti non sono necessari ulteriori interventi. Il vast nella maggior parte dei cluster è già in esecuzione una versione con patch. Le seguenti versioni di GKE o più recenti contengono la correzione vulnerabilità:
Cluster che utilizzano canali di rilascio sono già presenti nelle versioni del piano di controllo con la mitigazione. Quale vulnerabilità viene affrontata da questa patch?Queste patch attenuano la vulnerabilità CVE-2020-8555. Con classificazione vulnerabilità Medium per GKE, in quanto era difficile da sfruttare a causa di varie misure di protezione del piano di controllo. Un malintenzionato con le autorizzazioni per creare un pod con determinati tipi di volume integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) o le autorizzazioni per creare una classe di archiviazione può indurre Se combinato con un mezzo per divulgare i risultati dell' |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Di recente è stata scoperta in Kubernetes la vulnerabilità di falsificazione delle richieste lato server (SSRF), CVE-2020-8555, che consente a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo all'ultima versione della patch, come descritto di seguito. Non è necessario eseguire l'upgrade dei nodi. Che cosa devo fare?Le seguenti versioni di GKE on VMware o successive contengono la correzione di questa vulnerabilità:
Se utilizzi una versione precedente, eseguire l'upgrade del cluster esistente a una versione contenente la correzione. Quale vulnerabilità viene affrontata da questa patch?Queste patch attenuano la vulnerabilità CVE-2020-8555. Con classificazione vulnerabilità Medium per GKE, in quanto era difficile da sfruttare a causa di varie misure di protezione del piano di controllo. Un malintenzionato con le autorizzazioni per creare un pod con determinati tipi di volume integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) o le autorizzazioni per creare una classe di archiviazione può indurre Se combinato con un mezzo per divulgare i risultati dell' |
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Vulnerabilità Falsificazione richiesta lato server (SSRF, Server Side Request Forgery), CVE-2020-8555, di recente scoperta in Kubernetes, consentendo ad alcune agli utenti di divulgare fino a 500 byte di informazioni sensibili alla rete host del piano di controllo. Il piano di controllo Google Kubernetes Engine (GKE) utilizza i controller di Kubernetes ed è quindi interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo all'ultima versione della patch, come descritto di seguito. Non è necessario eseguire l'upgrade del nodo. Che cosa devo fare?GKE su AWS v0.2.0 o versioni successive include già la patch per questa vulnerabilità. Se utilizzi una versione precedente, scarica una nuova versione dello strumento a riga di comando anthos-gke e ricrea i cluster di gestione e utente. Quale vulnerabilità viene affrontata da questa patch?Queste patch attenuano la vulnerabilità CVE-2020-8555. Con classificazione vulnerabilità Medium per GKE, in quanto era difficile da sfruttare a causa di varie misure di protezione del piano di controllo. Un malintenzionato con le autorizzazioni per creare un pod con determinati tipi di volume integrati (GlusterFS, Quobyte, StorageFS, ScaleIO) o le autorizzazioni per creare una classe di archiviazione può indurre Se combinato con un mezzo per divulgare i risultati dell' |
Media |
GCP-2020-006
Pubblicato il: 01/06/2020Riferimento: Issue Kubernetes 91507
GKE
Descrizione | Gravità |
---|---|
Kubernetes ha divulgato vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro containerizzato. Traffico TLS/SSH reciproco, ad esempio tra kubelet e API server o il traffico proveniente da applicazioni che utilizzano mTLS non può essere letto modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch, come descritto di seguito. Che cosa devo fare?Per mitigare questa vulnerabilità, esegui l'upgrade del tuo piano di controllo e poi dei tuoi nodi a una delle versioni con patch elencate di seguito. Per i cluster sui canali di rilascio viene già eseguita una versione con patch sia dal piano di controllo che dai nodi:
In genere sono pochi i container che richiedono Rimuovi la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: La vulnerabilità descritta nel
problema 91507 di Kubernetes
|
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico del nodo a un altro container. Traffico TLS/SSH reciproco, ad esempio tra kubelet e API server o il traffico proveniente da applicazioni che utilizzano mTLS non può essere letto modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch, come descritto di seguito. Che cosa devo fare?Per mitigare questa vulnerabilità per GKE on VMware, esegui l'upgrade dei cluster alla versione seguente o a una successiva:
In genere, pochissimi container richiedono Rimuovi la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: La vulnerabilità descritta in
Problema 91507 di Kubernetes
|
Media |
Cluster GKE su
Descrizione | Gravità |
---|---|
Kubernetes ha divulgato vulnerabilità che consente a un container con privilegi di reindirizzare il traffico dei nodi a un altro containerizzato. Il traffico TLS/SSH reciproco, ad esempio tra il kubelet e il server API o il traffico proveniente da applicazioni che utilizzano mTLS, non può essere letto o modificato da questo attacco. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch, come descritto di seguito. Che cosa devo fare?Scarica lo strumento a riga di comando anthos-gke con la versione seguente o successiva e ricrea i cluster di gestione e utente:
In genere sono pochi i container che richiedono Elimina la funzionalità
Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: La vulnerabilità descritta nel
problema 91507 di Kubernetes
|
Media |
GCP-2020-005
Pubblicato: 07/05/2020Ultimo aggiornamento: 07/05/2020
Riferimento: CVE-2020-8835
GKE
Descrizione | Gravità |
---|---|
Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host. I nodi di Google Kubernetes Engine (GKE) Ubuntu che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile, come descritto di seguito. I nodi che eseguono Container-Optimized OS non sono interessati. Nodi in esecuzione su GKE on VMware. Che cosa devo fare?Per la maggior parte dei clienti non sono necessari ulteriori interventi. Solo i nodi che eseguono Ubuntu nelle versioni 1.16 o 1.17 di GKE sono interessati. Per eseguire l'upgrade dei nodi, devi prima eseguire l'upgrade del master alla versione più recente. Questa patch sarà disponibile in Kubernetes 1.16.8-gke.12, 1.17.4-gke.10 e release successive. Traccia la disponibilità di queste patch nelle note di rilascio. Quale vulnerabilità viene affrontata da questa patch?La patch attenua la seguente vulnerabilità: CVE-2020-8835 descrive una vulnerabilità nelle versioni kernel Linux 5.5.0 e successive che permette a un container dannoso di leggere e scrivere (con minima interazione dell'utente sotto forma di file eseguibile) la memoria del kernel, ottenendo così la possibilità di eseguire codice a livello di utente root sul nodo host. Questa è classificata come vulnerabilità di gravità "Alta". |
Alta |
GCP-2020-004
Pubblicato: 07/05/2020Ultimo aggiornamento: 07/05/2020
Riferimento: CVE-2019-11254
Cluster GKE su
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità in Kubernetes, descritta in CVE-2019-11254, che consente a qualsiasi utente autorizzato a inviare richieste POST di eseguire un attacco denial of service remoto contro un server API Kubernetes. Il Kubernetes Product Security Committee (PSC) ha pubblicato ulteriori informazioni su questa vulnerabilità, disponibili qui. Puoi mitigare questa vulnerabilità limitando i client che hanno l'accesso di rete ai server dell'API Kubernetes. Che cosa devo fare?Ti consigliamo di eseguire l'upgrade dei cluster alle versioni patch contenenti la correzione per questa vulnerabilità non appena saranno disponibili. Di seguito sono elencate le versioni di patch che contengono la correzione:
Quali vulnerabilità vengono affrontate da questa patch?La patch corregge la seguente vulnerabilità denial of service (DoS): |
Media |
GCP-2020-003
Pubblicato il 31/03/2020Ultimo aggiornamento: 31/03/2020
Riferimento: CVE-2019-11254
GKE
Descrizione | Gravità |
---|---|
Di recente è stata scoperta una vulnerabilità in Kubernetes, descritta in CVE-2019-11254, che consente a qualsiasi utente autorizzato a inviare richieste POST di eseguire un attacco denial of service remoto contro un server API Kubernetes. Il Kubernetes Product Security Committee (PSC) ha pubblicato ulteriori informazioni su questa vulnerabilità, disponibili qui. I cluster GKE che utilizzano reti autorizzate master e cluster privati senza endpoint pubblico mitigano questa vulnerabilità. Che cosa devo fare?Ti consigliamo di eseguire l'upgrade del cluster a una versione della patch che contenga la correzione per questa vulnerabilità. Di seguito sono elencate le versioni di patch che contengono la correzione:
Quali vulnerabilità vengono affrontate da questa patch?La patch corregge la seguente vulnerabilità denial of service (DoS): |
Media |
GCP-2020-002
Pubblicato il 23/03/2020Ultimo aggiornamento: 23/03/2020
Riferimento: CVE-2020-8551, CVE-2020-8552
GKE
Descrizione | Gravità |
---|---|
Kubernetes ha divulgato due vulnerabilità denial of service, una con conseguenze sul server API, l'altra sui Kubelet. Per ulteriori dettagli, consulta i problemi di Kubernetes: 89377 e 89378. Che cosa devo fare?Tutti gli utenti di GKE sono protetti da CVE-2020-8551 a meno che gli utenti non attendibili non possano inviare richieste nella rete interna del cluster. L'utilizzo di reti autorizzate master riduce ulteriormente i rischi di CVE-2020-8552. Quando verranno applicate le patch?Le patch per CVE-2020-8551 richiedono un upgrade del nodo. Di seguito sono elencate le versioni di patch che conterranno la mitigazione:
Le patch per CVE-2020-8552 richiedono un upgrade del master. Di seguito sono elencate le versioni di patch che conterranno la mitigazione:
|
Media |
GCP-january_21_2020
Pubblicato il: 21/01/2020Aggiornamento: 24/01/2020
Riferimento: CVE-2019-11254
GKE
Descrizione | Gravità |
---|---|
Aggiornamento 24-01-2020: la messa a disposizione di versioni con patch è già in corso e sarà completata entro il 25 gennaio 2020. Microsoft ha divulgato una vulnerabilità nell'API Windows Crypto e la sua convalida delle firme a curva ellittica. Per ulteriori informazioni, consulta la divulgazione di Microsoft. Che cosa devo fare? Per la maggior parte dei clienti non sono necessari ulteriori interventi. Sono interessati solo i nodi in esecuzione su Windows Server. Per i clienti che utilizzano i nodi Windows Server, sia questi ultimi che i carichi di lavoro containerizzati eseguiti su tali nodi devono essere aggiornati a versioni con patch per mitigare questa vulnerabilità. Per aggiornare i container: Ricostruisci i tuoi container utilizzando le immagini container di base di Microsoft più recenti, selezionando un tag servercore o nanoserver con un LastUpdated Time pari a 1/14/2020 o successivo. Per aggiornare i nodi: La messa a disposizione di versioni con patch è già in corso e sarà completata entro il 24 gennaio 2020. Puoi attendere fino a quel momento ed eseguire un upgrade del nodo a una versione GKE con patch, oppure puoi usare Windows Update per eseguire manualmente il deployment della patch Windows più recente in qualsiasi momento. Di seguito sono elencate le versioni di patch che conterranno la mitigazione:
Quali vulnerabilità vengono affrontate da questa patch? La patch attenua le seguenti vulnerabilità: CVE-2020-0601 - Questa vulnerabilità è anche nota come vulnerabilità spoofing dell'API Windows Crypto e può essere sfruttata per fare apparire come attendibili eseguibili dannosi o permettere a un utente malintenzionato di condurre attacchi man in the middle e decriptare informazioni riservate su connessioni TLS al software interessato. |
Punteggio base NVD: 8,1 (Alta) |
Bollettini sulla sicurezza archiviati
Per i bollettini sulla sicurezza precedenti al 2020, consulta l'archivio dei bollettini sulla sicurezza.