Buletin keamanan

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna yang memiliki kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Apa yang harus saya lakukan?

Upgrade cluster dan node pool GKE Anda ke versi yang di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Untuk tujuan keamanan, meskipun upgrade otomatis node diaktifkan, sebaiknya upgrade cluster dan node pool Anda secara manual ke versi GKE yang di-patch. Saluran rilis GKE memungkinkan Anda melakukan patch tanpa harus berhenti berlangganan atau mengubah saluran rilis. Tindakan ini memungkinkan Anda mengamankan cluster dan node sebelum versi baru menjadi default di saluran rilis yang dipilih.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2024-10220 memungkinkan penyerang membuat Pod dan mengaitkan volume gitRepo untuk mengeksekusi perintah arbitrer di luar batas penampung.

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna dengan kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Apa yang harus saya lakukan?

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna dengan kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Apa yang harus saya lakukan?

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna dengan kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Apa yang harus saya lakukan?

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna dengan kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-45016

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 19-11-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1784000
• 1.28.15-gke.1080000
• 1.29.10-gke.1155000
• 1.30.6-gke.1059000
• 1.31.2-gke.1354000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.1478000
• 1.28.14-gke.1099000
• 1.29.9-gke.1177000
• 1.30.5-gke.1145000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-45016

Apa yang harus saya lakukan?

Update 15-10-2024: Versi GDC (VMware) berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster GDC (VMware) Anda ke versi berikut atau yang lebih baru:

• 1.30.100-gke.96
• 1.29.600-gke.109
• 1.28.1000-gke.59

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-45016

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-45016

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-45016

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

GKE tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

Software GDC untuk VMware tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

GKE di AWS tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

GKE di Azure tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

Semua lingkungan Kubernetes dengan node Windows terpengaruh. Jalankan kubectl get nodes -l kubernetes.io/os=windows untuk melihat apakah ada node Windows yang sedang digunakan.

Versi GKE yang terpengaruh

• 1.27.15 dan yang lebih lama
• 1.28.11 dan yang lebih lama
• 1.29.6 dan yang lebih lama
• 1.30.2 dan yang lebih lama

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut atau yang lebih baru:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan apa yang sedang ditangani?

CVE-2024-5321

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

Semua lingkungan Kubernetes dengan node Windows terpengaruh. Jalankan kubectl get nodes -l kubernetes.io/os=windows untuk melihat apakah ada node Windows yang sedang digunakan.

Apa yang harus saya lakukan?

Versi patch untuk software GDC untuk VMware sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia.

Kerentanan apa yang sedang ditangani?

CVE-2024-5321

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

GKE di cluster AWS tidak mendukung node Windows dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

GKE di cluster Azure tidak mendukung node Windows dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

Software GDC untuk cluster bare metal tidak mendukung node Windows dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GKE tidak mendukung IPv6 di Windows dan tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

Software GDC untuk VMware tidak mendukung IPv6 di Windows dan tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GKE on Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GDC (bare metal) tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36978

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 01-11-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36978

Apa yang harus saya lakukan?

Update 21-10-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.28.1100-gke.91
• 1.30.200-gke.101
• 1.29.600-gke.109

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36978

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36978

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36978

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-41009

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-41009

Apa yang harus saya lakukan?

Update 25-10-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.700-gke.110
• 1.28.1100-gke.91
• 1.30.200-gke.101

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-41009

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-41009

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-41009

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-39503

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-39503

Apa yang harus saya lakukan?

Update 21-10-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-39503

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-39503

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-39503

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-08-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Update 19-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.400
• 1.28.900

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Update 21-10-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 02-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1287000
• 1.28.13-gke.1042000
• 1.29.8-gke.1096000
• 1.30.4-gke.1476000
• 1.30.4-gke.1476000
• 1.31.0-gke.1577000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Update 20-09-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.30.200
• 1.29.500
• 1.28.1000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Pembaruan 18-07-2024: Versi asli buletin ini salah menyatakan bahwa cluster Autopilot terpengaruh. Cluster Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan kemampuan CAP_NET_ADMIN.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 19-07-2024: Versi GKE berikut berisi kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Update 16-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.200
• 1.28.700
• 1.16.11

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Pembaruan 03-07-2024: Peluncuran yang dipercepat sedang berlangsung dan diharapkan akan menyediakan versi patch baru di semua zona paling lambat 3 Juli 2024 pukul 17.00 Waktu Pasifik AS dan Kanada (UTC-7). Untuk mendapatkan notifikasi segera setelah patch tersedia untuk cluster tertentu, gunakan notifikasi cluster.

Pembaruan 02-07-2024: Kerentanan ini memengaruhi cluster mode Autopilot dan mode Standar. Setiap bagian yang akan dijelaskan berikut ini akan memberi tahu Anda mode yang diterapkan oleh bagian tersebut.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Semua versi Container Optimized OS dan image Ubuntu yang didukung di GKE menjalankan versi OpenSSH yang rentan terhadap masalah ini.

Cluster GKE dengan alamat IP node publik dan SSH yang terekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi.

Bidang kontrol GKE tidak rentan terhadap masalah ini.

Apa yang harus saya lakukan?

Pembaruan 03-07-2024: Versi patch untuk GKE

Peluncuran yang dipercepat sedang berlangsung dan diharapkan akan menyediakan versi patch baru di semua zona paling lambat 3 Juli 2024 pukul 17.00 Waktu Pasifik AS dan Kanada (UTC-7).

Cluster dan node dengan upgrade otomatis yang diaktifkan akan mulai diupgrade seiring berjalannya minggu, tetapi karena keparahan kerentanan, sebaiknya upgrade secara manual sebagai berikut untuk mendapatkan patch secepat mungkin.

Untuk cluster Autopilot dan Standard, upgrade panel kontrol Anda ke versi yang di-patch. Selain itu, untuk cluster mode Standar, upgrade node pool Anda ke versi yang di-patch. Cluster Autopilot akan mulai mengupgrade node Anda agar sesuai dengan versi control plane sesegera mungkin.

Versi GKE yang di-patch tersedia untuk setiap versi yang didukung guna meminimalkan perubahan yang diperlukan untuk menerapkan patch. Nomor versi setiap versi baru adalah penambahan pada digit terakhir dalam nomor versi versi yang ada yang sesuai. Misalnya, jika Anda menggunakan 1.27.14-gke.1100000, Anda akan mengupgrade ke 1.27.14-gke.1100002 untuk mendapatkan perbaikan dengan perubahan sekecil mungkin. Versi GKE yang di-patch berikut tersedia:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Untuk memeriksa apakah patch tersedia di zona atau region cluster Anda, jalankan perintah berikut:

gcloud container get-server-config --location=LOCATION

Ganti LOCATION dengan zona atau region Anda.

Pembaruan 02-07-2024: Cluster mode Autopilot dan mode Standard harus diupgrade sesegera mungkin setelah versi patch tersedia.

Versi GKE yang di-patch yang menyertakan OpenSSH yang diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk saluran Anda, aktifkan notifikasi cluster. Sebaiknya lakukan langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan, sesuai kebutuhan.

Menentukan apakah node Anda memiliki alamat IP publik

Pembaruan 02-07-2024: Bagian ini berlaku untuk cluster Autopilot dan Standard.

Jika cluster dibuat dengan enable-private-nodes, node akan bersifat pribadi, yang mengurangi kerentanan dengan menghapus eksposur ke Internet. Jalankan perintah berikut untuk menentukan apakah cluster Anda mengaktifkan node pribadi:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Jika nilai yang ditampilkan adalah True, semua node adalah node pribadi untuk cluster ini dan vulnerability dimitigasi. Jika nilainya kosong atau salah, lanjutkan untuk menerapkan salah satu mitigasi di bagian berikut.

Untuk menemukan semua cluster yang awalnya dibuat dengan node publik, gunakan kueri Inventaris Aset Cloud ini di project atau organisasi:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Tidak mengizinkan SSH ke node cluster

Pembaruan 02-07-2024: Bagian ini berlaku untuk cluster Autopilot dan Standard.

Jaringan default diisi otomatis dengan aturan firewall default-allow-ssh untuk mengizinkan akses SSH dari Internet publik. Untuk menghapus akses ini, Anda dapat:

• Secara opsional, buat aturan untuk mengizinkan akses SSH yang Anda perlukan dari jaringan tepercaya ke node GKE atau VM Compute Engine lainnya dalam project.
• Nonaktifkan aturan firewall default dengan perintah berikut:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Jika Anda telah membuat aturan firewall lain yang mungkin mengizinkan SSH melalui TCP di port 22, nonaktifkan aturan tersebut, atau batasi IP sumber ke jaringan tepercaya.

Pastikan Anda tidak dapat lagi mengakses SSH ke node cluster dari Internet. Konfigurasi firewall ini mengurangi kerentanan.

Mengonversi node pool publik menjadi pribadi

Pembaruan 02-07-2024: Untuk cluster Autopilot yang awalnya dibuat sebagai cluster publik, Anda dapat menempatkan workload di node pribadi dengan menggunakan nodeSelectors. Namun, node Autopilot yang menjalankan beban kerja sistem di cluster yang awalnya dibuat sebagai cluster publik akan tetap menjadi node publik dan harus dilindungi menggunakan perubahan firewall yang dijelaskan di bagian sebelumnya.

Untuk melindungi cluster yang awalnya dibuat dengan node publik dengan sebaik mungkin, sebaiknya jangan izinkan SSH melalui firewall seperti yang telah dijelaskan. Jika tidak dapat melarang SSH melalui aturan firewall, Anda dapat mengonversi node pool publik di cluster GKE Standard menjadi pribadi dengan mengikuti panduan ini untuk mengisolasi node pool.

Mengubah konfigurasi SSHD

Pembaruan 02-07-2024: Bagian ini hanya berlaku untuk cluster Standar. Workload Autopilot tidak diizinkan untuk mengubah konfigurasi node.

Jika tidak ada mitigasi yang dapat diterapkan, kami juga telah memublikasikan daemonset yang menetapkan LoginGraceTime SSHD ke nol, dan memulai ulang daemon SSH. Daemonset ini dapat diterapkan ke cluster untuk memitigasi serangan. Perhatikan bahwa konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah dengan akses SSH yang sah. Daemonset ini harus dihapus setelah patch diterapkan.

Update 11-07-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade workstation admin, cluster admin, dan cluster pengguna (termasuk node pool) ke salah satu versi berikut atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade cluster atau node pool.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

Update pada 02-07-2024 untuk buletin ini salah menyatakan bahwa semua versi image Ubuntu yang didukung di software GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini. Image Ubuntu pada software GDC untuk cluster VMware versi 1.16 menjalankan versi OpenSSH yang tidak rentan terhadap masalah ini. Image Ubuntu di software GDC untuk VMware 1.28 dan 1.29 rentan. Image Container-Optimized OS di semua versi software GDC yang didukung untuk VMware rentan terhadap masalah ini.

Pembaruan 02-07-2024: Semua versi Container-Optimized OS dan image Ubuntu yang didukung di software GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini.

Software GDC untuk cluster VMware dengan alamat IP node publik dan SSH yang terekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: Software GDC yang di-patch untuk versi VMware yang menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya terapkan mitigasi berikut sesuai kebutuhan.

Tidak mengizinkan SSH ke node cluster

Anda dapat mengubah penyiapan jaringan infrastruktur untuk melarang konektivitas SSH dari sumber yang tidak tepercaya, seperti Internet publik.

Mengubah konfigurasi sshd

Jika Anda tidak dapat menerapkan mitigasi sebelumnya, kami telah memublikasikan DaemonSet yang menetapkan LoginGraceTime sshd ke nol dan memulai ulang daemon SSH. DaemonSet ini dapat diterapkan ke cluster untuk memitigasi serangan. Perhatikan bahwa konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah dengan akses SSH yang sah. Hapus DaemonSet ini setelah patch diterapkan.

Update 11-07-2024: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Upgrade GKE Anda di bidang kontrol dan node pool AWS ke salah satu versi yang di-patch ini atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster AWS dan Memperbarui node pool.

Pembaruan 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di AWS menjalankan versi OpenSSH yang rentan terhadap masalah ini.

GKE di cluster AWS dengan alamat IP node publik dan SSH yang terekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

Pembaruan 02-07-2024: Versi GKE on AWS yang di-patch dan menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya ikuti langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan terapkan mitigasi yang dijelaskan sesuai kebutuhan.

Menentukan apakah node Anda memiliki alamat IP publik

GKE di AWS tidak menyediakan mesin apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan traffic ke port 22 secara default. Namun, bergantung pada konfigurasi subnet, komputer dapat otomatis mendapatkan alamat IP publik selama penyediaan.

Untuk memeriksa apakah node disediakan dengan alamat IP publik, lihat konfigurasi subnet yang terkait dengan resource kumpulan node AWS Anda.

Tidak mengizinkan SSH ke node cluster

Meskipun GKE di AWS tidak mengizinkan traffic di port 22 pada node mana pun secara default, pelanggan dapat melampirkan grup keamanan tambahan ke node pool, sehingga mengaktifkan traffic SSH masuk.

Sebaiknya Anda menghapus atau mempersempit cakupan aturan yang sesuai dari grup keamanan yang disediakan.

Mengonversi node pool publik menjadi pribadi

Untuk melindungi cluster dengan node publik dengan sebaik mungkin, sebaiknya larang SSH terlebih dahulu melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika tidak dapat melarang SSH melalui aturan grup keamanan, Anda dapat mengonversi node pool publik menjadi pribadi dengan menonaktifkan opsi untuk menetapkan IP publik secara otomatis ke mesin dalam subnet dan menyediakan ulang node pool.

Update 11-07-2024: Versi GKE on Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Upgrade node pool dan panel kontrol GKE Anda di Azure ke salah satu versi yang di-patch ini atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster Azure dan Memperbarui node pool.

Pembaruan 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di Azure menjalankan versi OpenSSH yang rentan terhadap masalah ini.

GKE di cluster Azure dengan alamat IP node publik dan SSH yang diekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

Pembaruan 02-07-2024: Versi GKE di Azure yang di-patch dan menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya ikuti langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan terapkan mitigasi yang dijelaskan sesuai kebutuhan.

Menentukan apakah node Anda memiliki alamat IP publik

GKE di Azure tidak menyediakan mesin apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan traffic ke port 22 secara default. Untuk meninjau konfigurasi Azure guna memeriksa apakah ada alamat IP publik yang dikonfigurasi di cluster GKE di Azure, jalankan perintah berikut:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

Tidak mengizinkan SSH ke node cluster

Meskipun GKE di Azure tidak mengizinkan traffic di port 22 di node mana pun secara default, pelanggan dapat memperbarui aturan NetworkSecurityGroup ke node pool, sehingga mengaktifkan traffic SSH masuk dari internet publik.

Sebaiknya tinjau Network Security Group (NSG) yang terkait dengan cluster Kubernetes Anda. Jika ada aturan NSG yang mengizinkan traffic masuk tanpa batasan di port 22 (SSH), lakukan salah satu tindakan berikut:

• Hapus aturan sepenuhnya: Jika akses SSH ke node cluster tidak diperlukan dari internet, hapus aturan untuk menghilangkan potensi vektor serangan.
• Membatasi cakupan aturan: Batasi akses masuk di port 22 hanya ke alamat IP atau rentang tertentu yang memerlukannya. Hal ini meminimalkan permukaan yang terekspos untuk potensi serangan.

Mengonversi node pool publik menjadi pribadi

Untuk melindungi cluster dengan node publik dengan sebaik mungkin, sebaiknya larang SSH terlebih dahulu melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika tidak dapat melarang SSH melalui aturan grup keamanan, Anda dapat mengonversi node pool publik menjadi pribadi dengan menghapus alamat IP publik yang terkait dengan VM.

Untuk menghapus alamat IP publik dari VM dan menggantinya dengan konfigurasi alamat IP pribadi, lihat Memutuskan tautan alamat IP publik dari VM Azure.

Dampak: Setiap koneksi yang ada yang menggunakan alamat IP publik akan terganggu. Pastikan Anda memiliki metode akses alternatif, seperti VPN atau Azure Bastion.

Pembaruan 02-07-2024: Versi asli buletin ini untuk software GDC untuk bare metal secara keliru menyatakan bahwa versi patch sedang dalam proses. Software GDC untuk bare metal tidak terpengaruh secara langsung karena tidak mengelola konfigurasi atau daemon SSH sistem operasi. Oleh karena itu, versi patch adalah tanggung jawab penyedia sistem operasi, seperti yang dijelaskan di bagian Apa yang harus saya lakukan?.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

Pembaruan 02-07-2024: Hubungi penyedia OS Anda untuk mendapatkan patch untuk sistem operasi yang digunakan dengan software GDC untuk bare metal.

Sebelum Anda menerapkan patch vendor OS, pastikan komputer yang dapat dijangkau publik tidak mengizinkan koneksi SSH dari internet. Jika tidak memungkinkan, alternatifnya adalah menetapkan LoginGraceTime ke nol dan memulai ulang server sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Perhatikan bahwa perubahan konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah pada akses SSH yang sah.

Teks asli 01-07-2024 (lihat pembaruan 02-07-2024 sebelumnya untuk koreksi):

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 20-08-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Update 25-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.400
• 1.28.900

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Update 17-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.400
• 1.28.800
• 1.16.11

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 18-07-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgrade node pool Container-Optimized OS Anda ke versi patch berikut atau yang lebih baru:

• 1.27.15-gke.1125000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Versi minor berikut terpengaruh, tetapi tidak memiliki versi patch yang tersedia. Kami akan memperbarui buletin ini saat versi patch tersedia:

• 1,26
• 1.27

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26583

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 10-07-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Untuk versi minor 1.26 dan 1.27, upgrade node pool Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26583

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2022-23222

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2022-23222

Apa yang harus saya lakukan?

Update 26-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.28.900-gke.113
• 1.29.400-gke.8

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2022-23222

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2022-23222

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2022-23222

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di VMware tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di VMware tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di AWS tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE on AWS tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di Azure tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE on Azure tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di Bare Metal tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di Bare Metal tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 18-07-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 19-08-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 22-05-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi. Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini salah. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 15-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Update 25-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.28.600
• 1.16.9

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 18-07-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh.

Cluster GKE Autopilot dan Standard terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 24-04-2024: Menambahkan versi patch untuk GKE.

Versi GKE berikut menyertakan patch keamanan Golang untuk memperbaiki kerentanan ini. Upgrade cluster GKE Anda ke versi berikut atau yang lebih baru:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan.

Mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:

Anda dapat memitigasi cluster dari jenis serangan ini dengan mengonfigurasi jaringan yang diizinkan. Ikuti petunjuk untuk mengaktifkan jaringan yang diizinkan untuk cluster yang ada.

Untuk mempelajari lebih lanjut cara jaringan yang diizinkan mengontrol akses ke panel kontrol, lihat Cara kerja jaringan yang diizinkan. Untuk melihat akses jaringan yang diizinkan secara default, lihat tabel di bagian Akses ke endpoint panel kontrol.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Pembaruan 17-07-2024: Menambahkan versi patch untuk GKE di VMware.

Versi GKE berikut di VMware menyertakan kode untuk memperbaiki kerentanan ini. Upgrade GKE Anda di cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.0
• 1.28.500
• 1.16.8

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE di versi VMware yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di AWS yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di Azure yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Pembaruan 09-07-2024: Menambahkan versi patch untuk GKE on Bare Metal.

Versi GKE berikut di Bare Metal menyertakan kode untuk memperbaiki kerentanan ini. Upgrade cluster GKE on Bare Metal Anda ke versi berikut atau yang lebih baru:

• 1.29.100
• 1.28.600
• 1.16.9

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di Bare Metal yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 06-05-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Pembaruan 04-04-2024: Memperbaiki versi minimum untuk node pool Container-Optimized OS GKE.

Versi GKE minimum yang berisi perbaikan Container-Optimized OS yang tercantum sebelumnya salah. Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgrade node pool Container-Optimized OS Anda ke versi berikut atau yang lebih baru:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Pembaruan 17-04-2024: Menambahkan versi patch untuk GKE di VMware.

Versi GKE berikut di VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200
• 1.16.6
• 1.15.10

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Cluster GKE Standard yang menjalankan node Windows Server dan menggunakan plugin penyimpanan dalam hierarki mungkin terpengaruh.

Cluster GKE Autopilot dan node pool GKE yang menggunakan GKE Sandbox tidak terpengaruh karena tidak mendukung node Windows Server.

Apa yang harus saya lakukan?

Tentukan apakah Anda memiliki node Windows Server yang digunakan di cluster:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk menemukan bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat eksploitasi.

Update cluster dan node pool GKE Anda ke versi yang di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool Windows Server Anda ke salah satu versi GKE berikut atau yang lebih baru:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

GKE di cluster VMware yang menjalankan node Windows Server dan menggunakan plugin penyimpanan dalam hierarki mungkin terpengaruh.

Apa yang harus saya lakukan?

Tentukan apakah Anda memiliki node Windows Server yang digunakan di cluster:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk menemukan bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat eksploitasi.

Update GKE Anda di cluster dan node pool VMware ke versi yang di-patch. Versi GKE berikut di VMware telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool Windows Server Anda ke salah satu versi GKE di VMware berikut atau yang lebih baru:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Cluster GKE di AWS tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Cluster GKE on Azure tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Cluster GKE on Bare Metal tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod di node Container-Optimized OS dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 28-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Update 15-02-2024: Karena masalah, versi patch Ubuntu berikut dari update 14-02-2024 dapat menyebabkan node Anda memasuki status tidak sehat. Jangan mengupgrade ke versi patch berikut. Kami akan memperbarui buletin ini saat versi patch yang lebih baru untuk Ubuntu tersedia untuk 1.25 dan 1.26.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Jika Anda sudah mengupgrade ke salah satu versi patch ini, downgrade node pool secara manual ke versi sebelumnya di saluran rilis Anda.

Update 14-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Update 06-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool Container-Optimized OS Anda ke salah satu versi GKE berikut atau yang lebih baru:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kami memperbarui GKE dengan kode untuk memperbaiki kerentanan ini. Kami akan memperbarui buletin ini saat versi patch tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk membuat dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskripsi file tanpa sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir penampung berada di dalam namespace mount penampung. Image container berbahaya atau pengguna dengan izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskripsi file yang bocor dan kurangnya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host dan menimpa biner arbitrer di node.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod di node Container-Optimized OS dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 06-03-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200
• 1.16.6
• 1.15.9

Versi patch dan penilaian tingkat keparahan untuk GKE di VMware sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk membuat dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch dirilis dalam buletin keamanan ini, beberapa deskripsi file tanpa sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir penampung berada di dalam namespace mount penampung. Image container berbahaya atau pengguna dengan izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskripsi file yang bocor dan kurangnya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host serta menimpa biner arbitrer di node.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod di node Container-Optimized OS dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE di AWS berikut telah diupdate dengan patch untuk CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Versi patch dan penilaian tingkat keparahan untuk GKE di AWS sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk membuat dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch dirilis dalam buletin keamanan ini, beberapa deskripsi file tanpa sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir penampung berada di dalam namespace mount penampung. Image container berbahaya atau pengguna dengan izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskripsi file yang bocor dan kurangnya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host serta menimpa biner arbitrer di node.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod di node Container-Optimized OS dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE di Azure berikut telah diupdate dengan patch untuk CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Versi patch dan penilaian tingkat keparahan untuk GKE di Azure sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk membuat dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch dirilis dalam buletin keamanan ini, beberapa deskripsi file tanpa sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir penampung berada di dalam namespace mount penampung. Image container berbahaya atau pengguna dengan izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskripsi file yang bocor dan kurangnya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host serta menimpa biner arbitrer di node.

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 02-04-2024: Versi GKE on Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Versi patch dan penilaian tingkat keparahan untuk GKE di Bare Metal sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk membuat dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch dirilis dalam buletin keamanan ini, beberapa deskripsi file tanpa sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir penampung berada di dalam namespace mount penampung. Image container berbahaya atau pengguna dengan izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskripsi file yang bocor dan kurangnya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host serta menimpa biner arbitrer di node.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6817

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 07-02-2024: Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6817

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Pembaruan 26-01-2024: Riset keamanan yang menemukan sejumlah kecil cluster GKE dengan miskonfigurasi buatan pelanggan yang melibatkan grup system:authenticated kini telah dipublikasikan. Postingan blog peneliti tersebut merujuk pada 1.300 cluster dengan beberapa binding yang salah dikonfigurasi, dan 108 cluster dengan hak istimewa tinggi. Kami telah bekerja sama dengan pelanggan yang terpengaruh untuk memberi tahu mereka dan membantu menghapus binding yang salah dikonfigurasi.

Kami telah mengidentifikasi beberapa cluster tempat pengguna telah memberikan hak istimewa Kubernetes ke grup system:authenticated, yang mencakup semua pengguna dengan Akun Google. Jenis binding ini tidak direkomendasikan, karena melanggar prinsip hak istimewa terendah dan memberikan akses ke grup pengguna yang sangat besar. Lihat panduan di bagian 'Apa yang harus saya lakukan' untuk petunjuk tentang cara menemukan jenis binding ini.

Baru-baru ini, seorang peneliti keamanan melaporkan temuan cluster dengan kesalahan konfigurasi RBAC melalui program pelaporan kerentanan kami.

Pendekatan Google terhadap autentikasi adalah membuat autentikasi ke Google Cloud dan GKE semudah dan seaman mungkin tanpa menambahkan langkah konfigurasi yang rumit. Autentikasi hanya memberi tahu kita siapa penggunanya; Otorisasi adalah tempat akses ditentukan. Jadi, grup system:authenticated di GKE yang berisi semua pengguna yang diautentikasi melalui penyedia identitas Google berfungsi seperti yang diharapkan dan berfungsi dengan cara yang sama seperti ID allAuthenticatedUsers IAM.

Dengan mempertimbangkan hal ini, kami telah mengambil beberapa langkah untuk mengurangi risiko pengguna membuat error otorisasi dengan pengguna dan grup bawaan Kubernetes, termasuk system:anonymous, system:authenticated, dan system:unauthenticated. Semua pengguna/grup ini menimbulkan risiko bagi cluster jika diberi izin. Kami membahas beberapa aktivitas penyerang yang menargetkan miskonfigurasi RBAC dan pertahanan yang tersedia di Kubecon pada November 2023.

Untuk melindungi pengguna dari error otorisasi yang tidak disengaja dengan pengguna/grup sistem ini, kami memiliki:

• Secara default, mengblokir binding baru dari ClusterRole dengan hak istimewa tinggi cluster-admin ke Pengguna system:anonymous, Grup system:authenticated, atau Grup system:unauthenticated di GKE versi 1.28.
• Membuat aturan deteksi ke dalam Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) sebagai bagian dari Security Command Center.
• Membuat aturan pencegahan yang dapat dikonfigurasi ke dalam Policy Controller dengan K8sRestrictRoleBindings.
• Mengirim notifikasi email ke semua pengguna GKE dengan binding ke pengguna/grup ini yang meminta mereka untuk meninjau konfigurasi mereka.
• Membuat fitur otorisasi jaringan dan membuat rekomendasi untuk membatasi akses jaringan ke cluster sebagai lapisan pertahanan pertama.
• Meningkatkan kesadaran tentang masalah ini melalui presentasi di Kubecon pada November 2023.

Cluster yang menerapkan batasan jaringan resmi memiliki lapisan pertahanan pertama: cluster tidak dapat diserang secara langsung dari Internet. Namun, sebaiknya hapus binding ini untuk pertahanan dalam dan untuk mencegah error dalam kontrol jaringan.
Perhatikan bahwa ada sejumlah kasus saat binding ke pengguna atau grup sistem Kubernetes digunakan secara sengaja: misalnya, untuk bootstrap kubeadm, dasbor Rancher, dan rahasia tertutup Bitnami. Kami telah mengonfirmasi dengan vendor software tersebut bahwa binding tersebut berfungsi sebagaimana mestinya.

Kami sedang menyelidiki cara untuk lebih melindungi dari kesalahan konfigurasi RBAC pengguna dengan pengguna/grup sistem ini melalui pencegahan dan deteksi.

Apa yang harus saya lakukan?

Untuk mencegah pembuatan ikatan cluster-admin baru ke Pengguna system:anonymous, Grup system:authenticated, atau Grup system:unauthenticated, pengguna dapat mengupgrade ke GKE v1.28 atau yang lebih baru (catatan rilis), tempat pembuatan ikatan tersebut diblokir.

Binding yang ada harus ditinjau dengan mengikuti panduan ini.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

• CVE-2023-6111

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

• CVE-2023-6111

Apa yang harus saya lakukan?

Pembaruan 20-02-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru: 1.28.100

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

• CVE-2023-6111

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

• CVE-2023-6111

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

• CVE-2023-6111

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3609

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3609

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3389

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3389

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3090

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3090

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3390

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.4-gke.400
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3390

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Penyerang yang telah membahayakan penampung logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Cloud Service Mesh (di cluster yang telah mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster. Masalah pada Fluent Bit dan Cloud Service Mesh telah diatasi dan perbaikan kini tersedia. Kerentanan ini tidak dapat dieksploitasi sendiri di GKE dan memerlukan kompromi awal. Kami tidak mengetahui adanya eksploitasi kerentanan ini.

Masalah ini dilaporkan melalui Vulnerability Reward Program kami.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki vulnerability ini di Fluent Bit dan untuk pengguna Cloud Service Mesh terkelola. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade secara manual cluster dan node pool ke salah satu versi GKE berikut atau yang lebih baru:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Kerentanan apa yang ditangani oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang membahayakan penampung logging Fluent Bit. Kami tidak mengetahui adanya kerentanan di Fluent Bit yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang

GKE menggunakan Fluent Bit untuk memproses log untuk workload yang berjalan di cluster. Fluent Bit di GKE juga dikonfigurasi untuk mengumpulkan log untuk beban kerja Cloud Run. Penyambungan volume yang dikonfigurasi untuk mengumpulkan log tersebut memberi Fluent Bit akses ke token akun layanan Kubernetes untuk Pod lain yang berjalan di node. Peneliti menggunakan akses ini untuk menemukan token akun layanan dengan hak istimewa tinggi untuk cluster yang mengaktifkan Cloud Service Mesh.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin

Kami telah menghapus akses Fluent Bit ke token akun layanan dan telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Hanya GKE di cluster VMware yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan penuh di masa mendatang.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Hanya cluster GKE di AWS yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Hanya cluster GKE di Azure yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Hanya cluster GKE on Bare Metal yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang.

Anthos Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5717

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 22-01-2024: Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Update 04-03-2024: Versi GKE on VMware berikut diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200
• 1.16.5
• 1.15.8

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5717

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5197

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-5197

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4147

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot tidak terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 15-11-2023: Anda hanya perlu mengupgrade ke salah satu versi yang di-patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Misalnya, jika menggunakan GKE versi 1.27, Anda harus mengupgrade ke versi yang di-patch yang sesuai. Namun, jika menggunakan GKE versi 1.24, Anda tidak perlu mengupgrade ke versi yang di-patch.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi yang di-patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4147

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4004

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 05-12-2023: Beberapa versi GKE sebelumnya tidak ada. Berikut adalah daftar versi GKE terbaru yang dapat Anda gunakan untuk mengupdate Container-Optimized OS:

• 1.24.17-gke.200 atau yang lebih baru
• 1.25.13-gke.200 atau yang lebih baru
• 1.26.8-gke.200 atau yang lebih baru
• 1.27.4-gke.2300 atau yang lebih baru
• 1.28.1-gke.1257000 atau yang lebih baru

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4004

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4921

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4015

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

• 1.27.5-gke.1647000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4015

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3777

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN. Workload GKE Sandbox juga tidak terpengaruh.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox akan terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-3777

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 09-11-2023: Kami telah merilis versi baru GKE yang menyertakan patch keamanan Go dan Kubernetes, yang dapat Anda gunakan untuk mengupdate cluster Anda sekarang. Dalam beberapa minggu mendatang, kami akan merilis perubahan tambahan pada platform kontrol GKE untuk mengurangi masalah ini lebih lanjut.

Versi GKE berikut telah diupdate dengan patch untuk CVE-2023-44487 dan CVE-2023-39325:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Sebaiknya terapkan mitigasi berikut sesegera mungkin dan upgrade ke versi terbaru yang telah di-patch jika tersedia.

Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan mengupgrade control plane Anda, dan juga membuat patch terlihat dalam postur keamanan GKE GKE jika tersedia untuk cluster Anda. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk saluran Anda, aktifkan notifikasi cluster.

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Tindakan ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

Mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses panel kontrol:

Anda dapat menambahkan jaringan yang diizinkan untuk cluster yang ada. Untuk mempelajari lebih lanjut, lihat jaringan yang diizinkan untuk cluster yang ada.

Selain jaringan yang diizinkan yang Anda tambahkan, ada alamat IP preset yang dapat mengakses bidang kontrol GKE. Untuk mempelajari alamat ini lebih lanjut, lihat Akses ke endpoint panel kontrol. Item berikut meringkas isolasi cluster:

• Cluster pribadi dengan --master-authorized-networks dan cluster berbasis PSC dengan --master-authorized-networks dan --no-enable-google-cloud yang dikonfigurasi adalah yang paling terisolasi.
• Cluster publik lama dengan --master-authorized-networks dan cluster berbasis PSC dengan --master-authorized-networks dan --enable-google-cloud (default) yang dikonfigurasi juga dapat diakses oleh hal berikut:
  • Alamat IP publik semua VM Compute Engine di Google Cloud
  • Alamat IP Google Cloud Platform

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol GKE.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. GKE di VMware membuat cluster Kubernetes yang tidak dapat diakses langsung ke Internet secara default dan dilindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Pembaruan 14-02-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi patch berikut atau yang lebih baru:

• 1.28.100
• 1.16.6
• 1.15.8

Jika Anda telah mengonfigurasi GKE di cluster Kubernetes VMware agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. GKE di AWS membuat cluster Kubernetes pribadi yang tidak dapat diakses secara langsung ke Internet secara default dan dilindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: Versi GKE on AWS berikut telah diupdate dengan patch untuk CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di AWS agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. GKE di Azure membuat cluster Kubernetes pribadi yang tidak dapat diakses secara langsung ke Internet secara default dan dilindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: Versi GKE on Azure berikut telah diupdate dengan patch untuk CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di cluster Azure agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. Anthos on Bare Metal membuat cluster Kubernetes yang tidak dapat diakses langsung oleh Internet secara default dan dilindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah mengonfigurasi Anthos di cluster Kubernetes Bare Metal agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut. Untuk mempelajari lebih lanjut, lihat ringkasan keamanan GKE di Bare Metal.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Cluster GKE hanya terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool Anda ke salah satu versi GKE berikut:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

Bidang kontrol GKE akan diupdate pada minggu 04-09-2023 untuk mengupdate csi-proxy ke versi 1.1.3. Jika Anda mengupdate node sebelum update control plane, Anda harus mengupdate node lagi setelah update untuk memanfaatkan proxy baru. Anda dapat mengupdate node lagi, bahkan tanpa mengubah versi node, dengan menjalankan perintah gcloud container clusters upgrade dan meneruskan flag --cluster-version dengan versi GKE yang sama dengan yang sudah dijalankan node pool. Anda harus menggunakan gcloud CLI untuk solusi ini. Perhatikan bahwa tindakan ini akan menyebabkan update, terlepas dari masa pemeliharaan.

Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki pembersihan input dan meneruskan string jalur buatan ini ke eksekutor perintah sebagai argumen tempat string akan dieksekusi sebagai perintah terpisah. Perintah ini akan berjalan dengan hak istimewa administratif yang sama seperti yang dimiliki Kubelet.

Dengan CVE-2023-3955, Kubelet memberi pengguna yang dapat membuat Pod kemampuan untuk mengeksekusi kode pada tingkat izin yang sama dengan agen Kubelet, yaitu izin istimewa.

Dengan CVE-2023-3893, kurangnya pembersihan input yang serupa memungkinkan pengguna yang dapat membuat Pod di node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin di node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell tersemat adalah indikasi kuat eksploitasi. ConfigMap dan Secret yang berisi perintah PowerShell tersemat dan dipasang ke Pod juga merupakan indikasi kuat eksploitasi.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Cluster hanya terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki pembersihan input dan meneruskan string jalur buatan ini ke eksekutor perintah sebagai argumen tempat string tersebut akan mengeksekusi bagian string sebagai perintah terpisah. Perintah ini akan berjalan dengan hak istimewa administratif yang sama seperti yang dimiliki Kubelet.

Dengan CVE-2023-3955, Kubelet memberi pengguna yang dapat membuat Pod kemampuan untuk mengeksekusi kode pada tingkat izin yang sama dengan agen Kubelet, yaitu izin istimewa.

Dengan CVE-2023-3893, kurangnya pembersihan input yang serupa memungkinkan pengguna yang dapat membuat Pod di node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin di node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell tersemat adalah indikasi kuat eksploitasi. ConfigMap dan Secret yang berisi perintah PowerShell tersemat dan dipasang ke dalam Pod juga merupakan indikasi kuat eksploitasi.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Apa yang harus saya lakukan?

GKE on Bare Metal tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE Autopilot terpengaruh karena node GKE Autopilot selalu menggunakan image node Container-Optimized OS. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node Container-Optimized OS akan terpengaruh.

Cluster GKE tidak akan terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum 1.25, atau menggunakan GKE Sandbox.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Tindakan ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di cluster VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE di AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE on Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free.

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 11-07-2023: Versi patch Ubuntu tersedia.

Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang melakukan patch pada CVE-2023-31436:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Tindakan ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, ditemukan cacat akses memori di luar batas di subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di cluster VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, ditemukan cacat akses memori di luar batas di subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE di AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, ditemukan cacat akses memori di luar batas di subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE on Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, ditemukan cacat akses memori di luar batas di subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh (ASM). Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE tidak dikirimkan dengan ASM dan tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah menginstal ASM secara terpisah untuk cluster GKE, lihat GCP-2023-002.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh di GKE di VMware, yang memungkinkan penyerang berbahaya untuk menyebabkan denial of service atau membuat Envoy error. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

• 1.13.8
• 1.14.5
• 1.15.1

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan dan diekspos, pelaku malicious dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti SAN sertifikat peer.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan yang besar untuk rute yang mengaktifkan filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat secara khusus untuk memicu error penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di AWS tidak dikirimkan dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di Azure tidak dikirimkan dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh di GKE pada Bare Metal, yang memungkinkan penyerang berbahaya menyebabkan denial of service atau membuat Envoy error. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE on Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di Bare Metal berikut:

• 1.13.9
• 1.14.6
• 1.15.2

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan dan diekspos, pelaku malicious dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti SAN sertifikat peer.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan yang besar untuk rute yang mengaktifkan filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat secara khusus untuk memicu error penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node. Cluster GKE, termasuk cluster Autopilot, terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Tindakan ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

Kerentanan apa yang sedang ditangani?

Dalam CVE-2023-0468, ditemukan bug use-after-free di io_uring/poll.c di io_poll_check_events di subkomponen io_uring di Kernel Linux. Kekurangan ini dapat menyebabkan dereferensi pointer NULL, dan berpotensi menyebabkan error sistem yang menyebabkan penolakan layanan.

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node.

GKE di VMware menggunakan Kernel Linux versi 5.4 dan tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan apa pun

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node.

GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan apa pun

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node.

GKE on Azure tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan apa pun

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

• Anda tidak perlu melakukan apa pun

Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728).

GKE tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama.

Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:

• Plugin izin ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan penampung sementara.

Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728) Anthos di VMware tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Semua versi Anthos di VMware berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

• 1.13.10
• 1.14.6
• 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama.

Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:

• Plugin izin ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan penampung sementara.

Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728)
Anthos di AWS tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di AWS berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE on AWS berikut:

• 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama.

Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:

• Plugin izin ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan penampung sementara.

Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728)
Anthos di Azure tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos on Azure berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi GKE on Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE di Azure berikut:

• 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama.

Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:

• Plugin izin ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan penampung sementara.

Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728)
Anthos di Bare Metal tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos on Bare Metal berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual for Bare Metal berikut:

• 1.13.9
• 1.14.7
• 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama.

Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:

• Plugin izin ServiceAccount digunakan.
• Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
• Pod menggunakan penampung sementara.

Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault.

GKE tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui flag -v.

Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault.

GKE di VMware tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?