Semua buletin keamanan untuk produk berikut dijelaskan di halaman ini:
- Google Kubernetes Engine (GKE)
- Google Distributed Cloud (khusus software) di VMware
- GKE on AWS
- GKE on Azure
- Google Distributed Cloud (khusus software) di bare metal
Kerentanan sering kali dirahasiakan di embargo sampai pihak terdampak berkesempatan mengatasinya. Dalam hal ini, catatan rilis produk akan merujuk pada "update keamanan" hingga embargo dicabut. Pada tahap ini, catatan akan diperbarui untuk menunjukkan kerentanan yang dapat diatasi patch.
Saat GKE mengeluarkan buletin keamanan yang berkaitan langsung dengan
konfigurasi atau versi cluster, kami mungkin mengirimkan notifikasi cluster SecurityBulletinEvent
yang memberikan informasi tentang kerentanan dan tindakan
yang dapat Anda ambil, jika berlaku. Untuk informasi tentang cara menyiapkan notifikasi
cluster, lihat Notifikasi cluster.
Untuk informasi selengkapnya tentang cara Google mengelola kerentanan dan patch keamanan untuk GKE dan GKE Enterprise, lihat Patching keamanan.
Platform GKE dan GKE Enterprise tidak menggunakan komponen
seperti ingress-nginx
dan runtime penampung CRI-O, serta tidak terpengaruh
oleh kerentanan apa pun dalam komponen tersebut. Jika Anda menginstal komponen dari
sumber lain, lihat update keamanan dan saran patch komponen
tersebut di sumbernya.
Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini.
GCP-2024-062
Dipublikasikan: 02-12-2024
Referensi:
CVE-2024-46800
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-061
Dipublikasikan: 25-11-2024
Referensi: CVE-2024-10220
GKE
Deskripsi | Keparahan |
---|---|
Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume Apa yang harus saya lakukan?Upgrade cluster dan node pool GKE Anda ke versi yang di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini:
Untuk tujuan keamanan, meskipun upgrade otomatis node diaktifkan, sebaiknya upgrade cluster dan node pool Anda secara manual ke versi GKE yang di-patch. Saluran rilis GKE memungkinkan Anda melakukan patch tanpa harus berhenti berlangganan atau mengubah saluran rilis. Tindakan ini memungkinkan Anda mengamankan cluster dan node sebelum versi baru menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2024-10220 memungkinkan penyerang membuat Pod dan mengaitkan volume |
Tinggi |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume Apa yang harus saya lakukan? |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume Apa yang harus saya lakukan? |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume Apa yang harus saya lakukan? |
Tinggi |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume Apa yang harus saya lakukan? |
Tinggi |
GCP-2024-057
Dipublikasikan: 03-10-2024
Diperbarui: 19-11-2024
Referensi:
CVE-2024-45016
Update 19-11-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
Pembaruan 15-10-2024: Menambahkan versi patch untuk GDC (VMware). Memperbarui tingkat keparahan GDC (VMware) dari Tertunda menjadi Sedang. Memperbarui tingkat keparahan GKE dari Tinggi menjadi Sedang.
GKE
Diperbarui: 19-11-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 19-11-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Sedang |
GDC (VMware)
Diperbarui: 15-10-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 15-10-2024: Versi GDC (VMware) berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster GDC (VMware) Anda ke versi berikut atau yang lebih baru:
|
Sedang |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-056
Dipublikasikan: 27-09-2024
Referensi: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177
GKE
Deskripsi | Keparahan |
---|---|
Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut. GKE tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut. Software GDC untuk VMware tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut. GKE di AWS tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut. GKE di Azure tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GCP-2024-054
Dipublikasikan: 23-09-2024
Referensi: CVE-2024-5321
GKE
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat
Semua lingkungan Kubernetes dengan node Windows terpengaruh. Jalankan
Versi GKE yang terpengaruh
Apa yang harus saya lakukan?Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. Kerentanan apa yang sedang ditangani?CVE-2024-5321 |
Sedang |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows
tempat Semua lingkungan Kubernetes dengan node Windows terpengaruh. Jalankan
Apa yang harus saya lakukan?Versi patch untuk software GDC untuk VMware sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia. Kerentanan apa yang sedang ditangani?CVE-2024-5321 |
Sedang |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows
tempat GKE di cluster AWS tidak mendukung node Windows dan tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan
|
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows
tempat GKE di cluster Azure tidak mendukung node Windows dan tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows
tempat Software GDC untuk cluster bare metal tidak mendukung node Windows dan tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GCP-2024-050
Dipublikasikan: 04-09-2024
Referensi: CVE-2024-38063
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host. Apa yang harus saya lakukan?GKE tidak mendukung IPv6 di Windows dan tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host. Apa yang harus saya lakukan?Software GDC untuk VMware tidak mendukung IPv6 di Windows dan tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host. Apa yang harus saya lakukan?GKE on Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host. Apa yang harus saya lakukan?GDC (bare metal) tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2024-049
Dipublikasikan: 21-08-2024
Diperbarui: 01-11-2024
Referensi:
CVE-2024-36978
Update 01-11-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 01-11-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Diperbarui: 21-10-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 21-10-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-048
Dipublikasikan: 20-08-2024
Diperbarui: 30-10-2024
Referensi:
CVE-2024-41009
Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
Update 25-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Diperbarui: 25-10-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 25-10-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-047
Dipublikasikan: 19-08-2024
Diperbarui: 30-10-2024
Referensi:
CVE-2024-39503
Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Diperbarui: 21-10-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 21-10-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-045
Dipublikasikan: 17-07-2024
Diperbarui: 19-09-2024
Referensi:
CVE-2024-26925
Pembaruan 19-09-2024: Menambahkan versi patch untuk GDC (VMware).
Update 21-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
GKE
Diperbarui: 21-08-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 21-08-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Diperbarui: 19-09-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 19-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-044
Dipublikasikan: 16-07-2024
Diperbarui: 30-10-2024
Referensi:
CVE-2024-36972
Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Diperbarui: 21-10-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 21-10-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-043
Dipublikasikan: 16-07-2024
Diperbarui: 02-10-2024
Referensi:
CVE-2024-26921
Update 02-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
Pembaruan 20-09-2024: Menambahkan versi patch untuk GDC (VMware).
GKE
Diperbarui: 02-10-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 02-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Diperbarui: 20-09-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 20-09-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-042
Dipublikasikan: 15-07-2024
Diperbarui: 18-07-2024
Referensi:
CVE-2024-26809
Pembaruan 18-07-2024: Memperjelas bahwa cluster Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 18-07-2024
Deskripsi | Keparahan |
---|---|
Pembaruan 18-07-2024: Versi asli buletin ini salah menyatakan bahwa cluster Autopilot terpengaruh. Cluster Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan kemampuan Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-041
Dipublikasikan: 08-07-2024
Diperbarui: 16-09-2024
Referensi:
CVE-2023-52654, CVE-2023-52656
Pembaruan 16-09-2024: Menambahkan versi patch untuk GDC (VMware).
Update 19-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
GKE
Diperbarui: 19-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 19-07-2024: Versi GKE berikut berisi kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Diperbarui: 16-09-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 16-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-040
Dipublikasikan: 01-07-2024
Diperbarui: 11-07-2024
Referensi:
CVE-2024-6387
Update 11-07-2024: Menambahkan versi patch untuk software GDC untuk VMware, GKE di AWS, dan GKE di Azure.
Pembaruan 03-07-2024: Menambahkan versi patch untuk GKE
Pembaruan 02-07-2024:
- Memperjelas bahwa cluster Autopilot terpengaruh dan akan memerlukan tindakan pengguna.
- Menambahkan penilaian dampak dan langkah mitigasi untuk GDC (VMware), GKE di AWS, dan GKE di Azure.
- Memperbaiki buletin keamanan GDC (bare metal) untuk mengklarifikasi bahwa GDC (bare metal) tidak terpengaruh secara langsung dan bahwa pelanggan harus memeriksa patch dengan vendor OS.
GKE
Diperbarui: 03-07-2024
Deskripsi | Keparahan |
---|---|
Pembaruan 03-07-2024: Peluncuran yang dipercepat sedang berlangsung dan diharapkan akan menyediakan versi patch baru di semua zona paling lambat 3 Juli 2024 pukul 17.00 Waktu Pasifik AS dan Kanada (UTC-7). Untuk mendapatkan notifikasi segera setelah patch tersedia untuk cluster tertentu, gunakan notifikasi cluster. Pembaruan 02-07-2024: Kerentanan ini memengaruhi cluster mode Autopilot dan mode Standar. Setiap bagian yang akan dijelaskan berikut ini akan memberi tahu Anda mode yang diterapkan oleh bagian tersebut. Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi. Semua versi Container Optimized OS dan image Ubuntu yang didukung di GKE menjalankan versi OpenSSH yang rentan terhadap masalah ini. Cluster GKE dengan alamat IP node publik dan SSH yang terekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi. Bidang kontrol GKE tidak rentan terhadap masalah ini. Apa yang harus saya lakukan?Pembaruan 03-07-2024: Versi patch untuk GKEPeluncuran yang dipercepat sedang berlangsung dan diharapkan akan menyediakan versi patch baru di semua zona paling lambat 3 Juli 2024 pukul 17.00 Waktu Pasifik AS dan Kanada (UTC-7). Cluster dan node dengan upgrade otomatis yang diaktifkan akan mulai diupgrade seiring berjalannya minggu, tetapi karena keparahan kerentanan, sebaiknya upgrade secara manual sebagai berikut untuk mendapatkan patch secepat mungkin. Untuk cluster Autopilot dan Standard, upgrade panel kontrol Anda ke versi yang di-patch. Selain itu, untuk cluster mode Standar, upgrade node pool Anda ke versi yang di-patch. Cluster Autopilot akan mulai mengupgrade node Anda agar sesuai dengan versi control plane sesegera mungkin. Versi GKE yang di-patch tersedia untuk setiap versi yang didukung guna meminimalkan perubahan yang diperlukan untuk menerapkan patch. Nomor versi setiap versi baru adalah penambahan pada digit terakhir dalam nomor versi versi yang ada yang sesuai. Misalnya, jika Anda menggunakan 1.27.14-gke.1100000, Anda akan mengupgrade ke 1.27.14-gke.1100002 untuk mendapatkan perbaikan dengan perubahan sekecil mungkin. Versi GKE yang di-patch berikut tersedia:
Untuk memeriksa apakah patch tersedia di zona atau region cluster Anda, jalankan perintah berikut: gcloud container get-server-config --location= Ganti Pembaruan 02-07-2024: Cluster mode Autopilot dan mode Standard harus diupgrade sesegera mungkin setelah versi patch tersedia. Versi GKE yang di-patch yang menyertakan OpenSSH yang diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk saluran Anda, aktifkan notifikasi cluster. Sebaiknya lakukan langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan, sesuai kebutuhan. Menentukan apakah node Anda memiliki alamat IP publikPembaruan 02-07-2024: Bagian ini berlaku untuk cluster Autopilot dan Standard. Jika cluster dibuat dengan
gcloud container clusters describe $CLUSTER_NAME \ --format="value(privateClusterConfig.enablePrivateNodes)" Jika nilai yang ditampilkan adalah True, semua node adalah node pribadi untuk cluster ini dan kerentanan dimitigasi. Jika nilainya kosong atau salah, lanjutkan untuk menerapkan salah satu mitigasi di bagian berikut. Untuk menemukan semua cluster yang awalnya dibuat dengan node publik, gunakan kueri Inventaris Aset Cloud ini di project atau organisasi: SELECT resource.data.name AS cluster_name, resource.parent AS project_name, resource.data.privateClusterConfig.enablePrivateNodes FROM `container_googleapis_com_Cluster` WHERE resource.data.privateClusterConfig.enablePrivateNodes is null OR resource.data.privateClusterConfig.enablePrivateNodes = false Tidak mengizinkan SSH ke node clusterPembaruan 02-07-2024: Bagian ini berlaku untuk cluster Autopilot dan Standard. Jaringan default diisi otomatis dengan aturan firewall
Jika Anda telah membuat aturan firewall lain yang mungkin mengizinkan SSH melalui TCP di port 22, nonaktifkan aturan tersebut, atau batasi IP sumber ke jaringan tepercaya. Pastikan Anda tidak dapat lagi mengakses SSH ke node cluster dari Internet. Konfigurasi firewall ini mengurangi kerentanan. Mengonversi node pool publik menjadi pribadiPembaruan 02-07-2024: Untuk cluster Autopilot yang awalnya dibuat sebagai cluster publik, Anda dapat menempatkan workload di node pribadi dengan menggunakan nodeSelectors. Namun, node Autopilot yang menjalankan beban kerja sistem di cluster yang awalnya dibuat sebagai cluster publik akan tetap menjadi node publik dan harus dilindungi menggunakan perubahan firewall yang dijelaskan di bagian sebelumnya. Untuk melindungi cluster yang awalnya dibuat dengan node publik dengan sebaik mungkin, sebaiknya jangan izinkan SSH melalui firewall seperti yang telah dijelaskan. Jika tidak dapat melarang SSH melalui aturan firewall, Anda dapat mengonversi node pool publik di cluster GKE Standard menjadi pribadi dengan mengikuti panduan ini untuk mengisolasi node pool. Mengubah konfigurasi SSHDPembaruan 02-07-2024: Bagian ini hanya berlaku untuk cluster Standar. Workload Autopilot tidak diizinkan untuk mengubah konfigurasi node. Jika tidak ada mitigasi yang dapat diterapkan, kami juga telah memublikasikan daemonset
yang menetapkan |
Kritis |
GDC (VMware)
Diperbarui: 11-07-2024
Deskripsi | Keparahan |
---|---|
Update 11-07-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade workstation admin, cluster admin, dan cluster pengguna (termasuk node pool) ke salah satu versi berikut atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade cluster atau node pool.
Update pada 02-07-2024 untuk buletin ini salah menyatakan bahwa semua versi image Ubuntu yang didukung di software GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini. Image Ubuntu pada software GDC untuk cluster VMware versi 1.16 menjalankan versi OpenSSH yang tidak rentan terhadap masalah ini. Image Ubuntu di software GDC untuk VMware 1.28 dan 1.29 rentan. Image Container-Optimized OS di semua versi software GDC yang didukung untuk VMware rentan terhadap masalah ini. Pembaruan 02-07-2024: Semua versi Container-Optimized OS dan image Ubuntu yang didukung di software GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini. Software GDC untuk cluster VMware dengan alamat IP node publik dan SSH yang terekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi. Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi. Apa yang harus saya lakukan?Update 02-07-2024: Software GDC yang di-patch untuk versi VMware yang menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya terapkan mitigasi berikut sesuai kebutuhan. Tidak mengizinkan SSH ke node clusterAnda dapat mengubah penyiapan jaringan infrastruktur untuk melarang konektivitas SSH dari sumber yang tidak tepercaya, seperti Internet publik. Mengubah konfigurasi sshdJika Anda tidak dapat menerapkan mitigasi sebelumnya, kami telah
memublikasikan DaemonSet
yang menetapkan |
Kritis |
GKE on AWS
Diperbarui: 11-07-2024
Deskripsi | Keparahan |
---|---|
Update 11-07-2024: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:
Upgrade bidang kontrol dan node pool GKE Anda di AWS ke salah satu versi yang di-patch ini atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster AWS dan Memperbarui node pool. Pembaruan 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di AWS menjalankan versi OpenSSH yang rentan terhadap masalah ini. GKE di cluster AWS dengan alamat IP node publik dan SSH yang diekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi. Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi. Apa yang harus saya lakukan?Pembaruan 02-07-2024: Versi GKE on AWS yang di-patch dan menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya ikuti langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan terapkan mitigasi yang dijelaskan sesuai kebutuhan. Menentukan apakah node Anda memiliki alamat IP publikGKE di AWS tidak menyediakan mesin apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan traffic ke port 22 secara default. Namun, bergantung pada konfigurasi subnet, mesin dapat otomatis mendapatkan alamat IP publik selama penyediaan. Untuk memeriksa apakah node disediakan dengan alamat IP publik, lihat konfigurasi subnet yang terkait dengan resource kumpulan node AWS Anda. Tidak mengizinkan SSH ke node clusterMeskipun GKE di AWS tidak mengizinkan traffic di port 22 di node mana pun secara default, pelanggan dapat melampirkan grup keamanan tambahan ke node pool, sehingga mengaktifkan traffic SSH masuk. Sebaiknya Anda menghapus atau mempersempit cakupan aturan yang sesuai dari grup keamanan yang disediakan. Mengonversi node pool publik menjadi pribadiUntuk melindungi cluster dengan node publik dengan sebaik mungkin, sebaiknya larang SSH terlebih dahulu melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika tidak dapat melarang SSH melalui aturan grup keamanan, Anda dapat mengonversi node pool publik menjadi pribadi dengan menonaktifkan opsi untuk menetapkan IP publik secara otomatis ke mesin dalam subnet dan menyediakan ulang node pool. |
Kritis |
GKE on Azure
Diperbarui: 11-07-2024
Deskripsi | Keparahan |
---|---|
Update 11-07-2024: Versi GKE on Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:
Upgrade node pool dan panel kontrol GKE Anda di Azure ke salah satu versi yang di-patch ini atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster Azure dan Memperbarui node pool. Pembaruan 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di Azure menjalankan versi OpenSSH yang rentan terhadap masalah ini. GKE di cluster Azure dengan alamat IP node publik dan SSH yang diekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi. Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi. Apa yang harus saya lakukan?Pembaruan 02-07-2024: Versi GKE di Azure yang di-patch dan menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya ikuti langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan terapkan mitigasi yang dijelaskan sesuai kebutuhan. Menentukan apakah node Anda memiliki alamat IP publikGKE di Azure tidak menyediakan mesin apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan traffic ke port 22 secara default. Untuk meninjau konfigurasi Azure guna memeriksa apakah ada alamat IP publik yang dikonfigurasi di cluster GKE di Azure, jalankan perintah berikut: az network public-ip list -g Tidak mengizinkan SSH ke node clusterMeskipun GKE di Azure tidak mengizinkan traffic di port 22 di node mana pun secara default, pelanggan dapat memperbarui aturan NetworkSecurityGroup ke node pool, sehingga mengaktifkan traffic SSH inbound dari internet publik. Sebaiknya tinjau Network Security Group (NSG) yang terkait dengan cluster Kubernetes Anda. Jika ada aturan NSG yang mengizinkan traffic masuk tanpa batasan di port 22 (SSH), lakukan salah satu tindakan berikut:
Mengonversi node pool publik menjadi pribadiUntuk melindungi cluster dengan node publik dengan sebaik mungkin, sebaiknya larang SSH terlebih dahulu melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika tidak dapat melarang SSH melalui aturan grup keamanan, Anda dapat mengonversi node pool publik menjadi pribadi dengan menghapus alamat IP publik yang terkait dengan VM. Untuk menghapus alamat IP publik dari VM dan menggantinya dengan konfigurasi alamat IP pribadi, lihat Memutuskan tautan alamat IP publik dari VM Azure. Dampak: Setiap koneksi yang ada yang menggunakan alamat IP publik akan terganggu. Pastikan Anda memiliki metode akses alternatif, seperti VPN atau Azure Bastion. |
Kritis |
GDC (bare metal)
Diperbarui: 02-07-2024
Deskripsi | Keparahan |
---|---|
Pembaruan 02-07-2024: Versi asli buletin ini untuk software GDC untuk bare metal secara keliru menyatakan bahwa versi patch sedang dalam proses. Software GDC untuk bare metal tidak terpengaruh secara langsung karena tidak mengelola konfigurasi atau daemon SSH sistem operasi. Oleh karena itu, versi patch adalah tanggung jawab penyedia sistem operasi, seperti yang dijelaskan di bagian Apa yang harus saya lakukan?. Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi. Apa yang harus saya lakukan?Pembaruan 02-07-2024: Hubungi penyedia OS Anda untuk mendapatkan patch untuk sistem operasi yang digunakan dengan software GDC untuk bare metal. Sebelum Anda menerapkan patch vendor OS, pastikan komputer yang dapat dijangkau publik tidak
mengizinkan koneksi SSH dari internet. Jika tidak memungkinkan, alternatifnya adalah
menetapkan grep "^LoginGraceTime" /etc/ssh/sshd_config LoginGraceTime 0 Perhatikan bahwa perubahan konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah pada akses SSH yang sah. Teks asli 01-07-2024 (lihat pembaruan 02-07-2024 sebelumnya untuk koreksi): |
Kritis |
GCP-2024-039
Dipublikasikan: 28-06-2024
Diperbarui: 25-09-2024
Referensi:
CVE-2024-26923
Pembaruan 25-09-2024: Menambahkan versi patch untuk GDC (VMware).
Update 20-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
GKE
Diperbarui: 20-08-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 20-08-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Diperbarui: 25-09-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 25-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-038
Dipublikasikan: 26-06-2024
Diperbarui: 17-09-2024
Referensi:
CVE-2024-26924
Pembaruan 17-09-2024: Menambahkan versi patch untuk GDC (VMware).
Update 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
GKE
Diperbarui: 06-08-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GDC (VMware)
Diperbarui: 17-09-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 17-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GDC (bare metal)
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-036
Dipublikasikan: 18-06-2024
Referensi:
CVE-2024-26584
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-035
Dipublikasikan: 12-06-2024
Diperbarui: 18-07-2024
Referensi:
CVE-2024-26584
Pembaruan 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE dan menambahkan versi patch untuk versi 1.27 di node pool Container-Optimized OS.
GKE
Diperbarui: 18-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 18-07-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgrade node pool Container-Optimized OS Anda ke versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh, tetapi tidak memiliki versi patch yang tersedia. Kami akan memperbarui buletin ini saat versi patch tersedia:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-034
Dipublikasikan: 11-06-2024
Diperbarui: 10-07-2024
Referensi:
CVE-2024-26583
Update 10-07-2024: Menambahkan versi patch untuk node Container-Optimized OS yang menjalankan versi minor 1.26 dan 1.27 serta menambahkan versi patch untuk node Ubuntu.
GKE
Diperbarui: 10-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 10-07-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Untuk versi minor 1.26 dan 1.27, upgrade node pool Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-033
Dipublikasikan: 10-06-2024
Diperbarui: 26-09-2024
Referensi:
CVE-2022-23222
Pembaruan 26-09-2024: Menambahkan versi patch untuk GDC (VMware).
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 26-09-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan?Update 26-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-031
Dipublikasikan: 24-05-2024
Referensi: CVE-2024-4323
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh. GKE tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh. GKE di VMware tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE di VMware tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh. GKE di AWS tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE on AWS tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh. GKE di Azure tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE on Azure tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh. GKE di Bare Metal tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh. Apa yang harus saya lakukan?GKE di Bare Metal tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2024-030
Dipublikasikan: 15-05-2024
Diperbarui: 18-07-2024
Referensi:
CVE-2023-52620
Update 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
GKE
Diperbarui: 18-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 18-07-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-029
Dipublikasikan: 14-05-2024
Diperbarui: 19-08-2024
Referensi:
CVE-2024-26642
Pembaruan 19-08-2024: Menambahkan versi patch untuk node Ubuntu.
GKE
Diperbarui: 19-08-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 19-08-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-028
Dipublikasikan: 13-05-2024
Diperbarui: 22-05-2024
Referensi:
CVE-2024-26581
Pembaruan 22-05-2024: Menambahkan versi patch untuk node Ubuntu.
GKE
Diperbarui: 22-05-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 22-05-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-027
Dipublikasikan: 08-05-2024
Diperbarui: 25-09-2024
Referensi:
CVE-2024-26808
Pembaruan 25-09-2024: Menambahkan versi patch untuk GDC (VMware).
Update 15-05-2024: Menambahkan versi patch untuk node pool GKE Ubuntu.
Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi dan menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 09-05-2024, 15-05-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi.
Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini salah. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 15-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 25-09-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Update 25-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:
|
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-026
Dipublikasikan: 07-05-2024
Diperbarui: 06-08-2024
Referensi:
CVE-2024-26643
Update 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi.
GKE
Diperbarui: 06-08-2024
Deskripsi | Keparahan |
---|---|
Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi. Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE. Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-024
Dipublikasikan: 25-04-2024
Diperbarui: 18-07-2024
Referensi:
CVE-2024-26585
Update 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.
GKE
Diperbarui: 18-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 18-07-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-022
Dipublikasikan: 03-04-2024
Diperbarui: 17-07-2024
Referensi: CVE-2023-45288
Pembaruan 17-07-2024: Menambahkan versi patch untuk GKE di VMware.
Pembaruan 09-07-2024: Menambahkan versi patch untuk GKE di Bare Metal.
Update 24-04-2024: Menambahkan versi patch untuk GKE.
GKE
Diperbarui: 24-04-2024
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh. Cluster GKE Autopilot dan Standard terpengaruh. Apa yang harus saya lakukan?Pembaruan 24-04-2024: Menambahkan versi patch untuk GKE. Versi GKE berikut menyertakan patch keamanan Golang untuk memperbaiki kerentanan ini. Upgrade cluster GKE Anda ke versi berikut atau yang lebih baru:
Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan. Mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:Anda dapat mengurangi risiko cluster dari jenis serangan ini dengan mengonfigurasi jaringan yang diizinkan. Ikuti petunjuk untuk mengaktifkan jaringan yang diizinkan untuk cluster yang ada. Untuk mempelajari lebih lanjut cara jaringan yang diizinkan mengontrol akses ke panel kontrol, lihat Cara kerja jaringan yang diizinkan. Untuk melihat akses jaringan yang diizinkan secara default, lihat tabel di bagian Akses ke endpoint panel kontrol. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes. |
Tinggi |
GKE on VMware
Diperbarui: 17-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Pembaruan 17-07-2024: Menambahkan versi patch untuk GKE di VMware. Versi GKE berikut di VMware menyertakan kode untuk memperbaiki kerentanan ini. Upgrade GKE Anda di cluster VMware ke versi berikut atau yang lebih baru:
Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE di versi VMware yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di AWS yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di Azure yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes. |
Tinggi |
GKE on Bare Metal
Diperbarui: 09-07-2024
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Apa yang harus saya lakukan?Pembaruan 09-07-2024: Menambahkan versi patch untuk GKE on Bare Metal. Versi GKE berikut di Bare Metal menyertakan kode untuk memperbaiki kerentanan ini. Upgrade cluster GKE on Bare Metal Anda ke versi berikut atau yang lebih baru:
Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di Bare Metal yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes. |
Tinggi |
GCP-2024-018
Dipublikasikan: 12-03-2024
Diperbarui: 06-05-2024
Referensi:
CVE-2024-1085
Pembaruan 06-05-2024: Menambahkan versi patch untuk node pool GKE Ubuntu dan menghapus elemen garis horizontal tambahan dari update 04-04-2024.
Pembaruan 04-04-2024: Memperbaiki versi minimum untuk node pool GKE Container-Optimized OS.
GKE
Diperbarui: 06-05-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 06-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru.
Pembaruan 04-04-2024: Memperbaiki versi minimum untuk node pool Container-Optimized OS GKE. Versi GKE minimum yang berisi perbaikan Container-Optimized OS yang tercantum sebelumnya salah. Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgrade node pool Container-Optimized OS Anda ke versi berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-017
Dipublikasikan: 06-03-2024
Referensi:
CVE-2023-3611
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-014
Dipublikasikan: 2024-02-26
Referensi:
CVE-2023-3776
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-013
Dipublikasikan: 23-02-2024
Referensi:
CVE-2023-3610
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-012
Dipublikasikan: 20-02-2024
Referensi:
CVE-2024-0193
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-011
Dipublikasikan: 2024-02-15
Referensi:
CVE-2023-6932
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-010
Dipublikasikan: 14-02-2024
Diperbarui: 17-04-2024
Referensi:
CVE-2023-6931
Pembaruan 17-04-2024: Menambahkan versi patch untuk GKE di VMware.
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 17-04-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Pembaruan 17-04-2024: Menambahkan versi patch untuk GKE di VMware. Versi GKE berikut di VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
|
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-008
Dipublikasikan: 2024-02-12
Referensi: CVE-2023-5528
GKE
Deskripsi | Keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut. Cluster GKE Standard yang menjalankan node Windows Server dan menggunakan plugin penyimpanan dalam hierarki mungkin terpengaruh. Cluster GKE Autopilot dan node pool GKE yang menggunakan GKE Sandbox tidak terpengaruh karena tidak mendukung node Windows Server. Apa yang harus saya lakukan?Tentukan apakah Anda memiliki node Windows Server yang digunakan di cluster: kubectl get nodes -l kubernetes.io/os=windows Periksa log audit untuk menemukan bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat eksploitasi. Update cluster dan node pool GKE Anda ke versi yang di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade secara manual cluster dan node pool Windows Server ke salah satu versi GKE berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut. GKE di cluster VMware yang menjalankan node Windows Server dan menggunakan plugin penyimpanan dalam hierarki mungkin akan terpengaruh. Apa yang harus saya lakukan?Tentukan apakah Anda memiliki node Windows Server yang digunakan di cluster: kubectl get nodes -l kubernetes.io/os=windows Periksa log audit untuk menemukan bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat eksploitasi. Update GKE Anda di cluster dan node pool VMware ke versi yang di-patch. Versi GKE berikut di VMware telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool Windows Server Anda ke salah satu versi GKE di VMware berikut atau yang lebih baru:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut. Cluster GKE di AWS tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut. Cluster GKE on Azure tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut. Cluster GKE on Bare Metal tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan |
Tidak ada |
GCP-2024-005
Dipublikasikan: 31-01-2024
Diperbarui: 06-05-2024
Referensi: CVE-2024-21626
Update 06-05-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure.
Update 02-04-2024: Menambahkan versi patch untuk GKE di Bare Metal
Update 06-03-2024: Menambahkan versi patch untuk GKE di VMware
Update 28-02-2024: Menambahkan versi patch untuk Ubuntu
Update 15-02-2024: Mengklarifikasi bahwa versi patch Ubuntu 1.25 dan 1.26 dalam update 14-02-2024 dapat menyebabkan node tidak sehat.
Update 14-02-2024: Menambahkan versi patch untuk Ubuntu
Update 06-02-2024: Menambahkan versi patch untuk Container-Optimized OS.
GKE
Diperbarui: 06-03-2024
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Update 28-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Update 15-02-2024: Karena masalah, versi patch Ubuntu berikut dari update 14-02-2024 dapat menyebabkan node Anda memasuki status tidak sehat. Jangan mengupgrade ke versi patch berikut. Kami akan memperbarui buletin ini saat versi patch yang lebih baru untuk Ubuntu tersedia untuk 1.25 dan 1.26.
Jika Anda sudah mengupgrade ke salah satu versi patch ini, downgrade node pool secara manual ke versi sebelumnya di saluran rilis Anda. Update 14-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Update 06-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool Container-Optimized OS Anda ke salah satu versi GKE berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. Kami memperbarui GKE dengan kode untuk memperbaiki kerentanan ini. Kami akan memperbarui buletin ini saat versi patch tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on VMware
Diperbarui: 06-03-2024
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 06-03-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
Versi patch dan penilaian tingkat keparahan untuk GKE di VMware sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on AWS
Diperbarui: 06-05-2024
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 06-05-2024: Versi GKE di AWS berikut telah diupdate dengan patch untuk CVE-2024-21626:
Versi patch dan penilaian tingkat keparahan untuk GKE di AWS sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on Azure
Diperbarui: 06-05-2024
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 06-05-2024: Versi GKE di Azure berikut telah diupdate dengan patch untuk CVE-2024-21626:
Versi patch dan penilaian tingkat keparahan untuk GKE di Azure sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on Bare Metal
Diperbarui: 02-04-2024
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2024-21626, telah ditemukan di Apa yang harus saya lakukan?Update 02-04-2024: Versi GKE on Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
Versi patch dan penilaian tingkat keparahan untuk GKE di Bare Metal sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GCP-2024-004
Dipublikasikan: 24-01-2024
Diperbarui: 07-02-2024
Referensi:
CVE-2023-6817
Pembaruan 07-02-2024: Menambahkan versi patch untuk Ubuntu.
GKE
Diperbarui: 07-02-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 07-02-2024: Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2024-003
Dipublikasikan: 19-01-2024
Diperbarui: 26-01-2024
Pembaruan 26-01-2024: Menjelaskan jumlah cluster yang terpengaruh dan tindakan yang
kami lakukan untuk membantu memitigasi dampaknya.
GKE
Diperbarui: 26-01-2024
Deskripsi | Keparahan |
---|---|
Pembaruan 26-01-2024: Riset keamanan yang menemukan sejumlah kecil
cluster GKE dengan miskonfigurasi buatan pelanggan yang melibatkan
grup Kami telah mengidentifikasi beberapa cluster tempat pengguna telah memberikan hak istimewa Kubernetes ke grup Baru-baru ini, seorang peneliti keamanan melaporkan temuan cluster dengan kesalahan konfigurasi RBAC melalui program pelaporan kerentanan kami. Pendekatan Google terhadap autentikasi adalah membuat autentikasi ke Google Cloud dan GKE semudah dan seaman mungkin tanpa menambahkan langkah konfigurasi yang rumit.
Autentikasi hanya memberi tahu kita siapa penggunanya; Otorisasi adalah
tempat akses ditentukan. Jadi, grup Dengan mempertimbangkan hal ini, kami telah mengambil beberapa langkah untuk mengurangi risiko pengguna
membuat error otorisasi dengan pengguna dan grup bawaan Kubernetes, termasuk Untuk melindungi pengguna dari error otorisasi yang tidak disengaja dengan pengguna/grup sistem ini, kami memiliki:
Cluster yang menerapkan batasan jaringan
resmi memiliki lapisan pertahanan pertama: cluster tidak dapat diserang
secara langsung dari Internet. Namun, sebaiknya hapus binding ini untuk
pertahanan dalam dan untuk mencegah error dalam kontrol jaringan. Kami sedang menyelidiki cara untuk lebih melindungi dari kesalahan konfigurasi RBAC pengguna dengan pengguna/grup sistem ini melalui pencegahan dan deteksi. Apa yang harus saya lakukan?Untuk mencegah pembuatan ikatan Binding yang ada harus ditinjau dengan mengikuti panduan ini. |
Sedang |
GKE on VMware
Tidak ada pembaruan saat ini.
GKE on AWS
Tidak ada pembaruan saat ini.
GKE on Azure
Tidak ada pembaruan saat ini.
GKE on Bare Metal
Tidak ada pembaruan saat ini.
GCP-2024-002
Dipublikasikan: 17-01-2024
Diperbarui: 20-02-2024
Referensi:
CVE-2023-6111
Pembaruan 20-02-2024: Menambahkan versi patch untuk GKE di VMware.
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 20-02-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.
Apa yang harus saya lakukan?Pembaruan 20-02-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru: 1.28.100 |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-051
Dipublikasikan: 28-12-2023
Referensi:
CVE-2023-3609
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-050
Dipublikasikan: 27-12-2023
Referensi:
CVE-2023-3389
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-049
Dipublikasikan: 20-12-2023
Referensi:
CVE-2023-3090
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-048
Dipublikasikan: 15-12-2023
Diperbarui: 21-12-2023
Referensi:
CVE-2023-3390
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-047
Dipublikasikan: 14-12-2023
GKE
Deskripsi | Keparahan |
---|---|
Penyerang yang telah membahayakan penampung logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Cloud Service Mesh (di cluster yang telah mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster. Masalah pada Fluent Bit dan Cloud Service Mesh telah diatasi dan perbaikan kini tersedia. Kerentanan ini tidak dapat dieksploitasi sendiri di GKE dan memerlukan kompromi awal. Kami tidak mengetahui adanya eksploitasi kerentanan ini. Masalah ini dilaporkan melalui Vulnerability Reward Program kami. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki vulnerability ini di Fluent Bit dan untuk pengguna Cloud Service Mesh terkelola. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade secara manual cluster dan node pool ke salah satu versi GKE berikut atau yang lebih baru:
Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Kerentanan apa yang ditangani oleh patch ini? Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang membahayakan penampung logging Fluent Bit. Kami tidak mengetahui adanya kerentanan di Fluent Bit yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap pada masa mendatang GKE menggunakan Fluent Bit untuk memproses log untuk workload yang berjalan di cluster. Fluent Bit di GKE juga dikonfigurasi untuk mengumpulkan log untuk beban kerja Cloud Run. Penyambungan volume yang dikonfigurasi untuk mengumpulkan log tersebut memberi Fluent Bit akses ke token akun layanan Kubernetes untuk Pod lain yang berjalan di node. Peneliti menggunakan akses ini untuk menemukan token akun layanan dengan hak istimewa tinggi untuk cluster yang mengaktifkan Cloud Service Mesh. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin Kami telah menghapus akses Fluent Bit ke token akun layanan dan telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Hanya GKE di cluster VMware yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Hanya cluster GKE di AWS yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Hanya cluster GKE di Azure yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang. Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Hanya cluster GKE on Bare Metal yang menggunakan Cloud Service Mesh yang terpengaruh. Apa yang harus saya lakukan?Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang. Anthos Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin. Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan. |
Sedang |
GCP-2023-046
Dipublikasikan: 22-11-2023
Diperbarui: 04-03-2024
Referensi:
CVE-2023-5717
Pembaruan 04-03-2024: Menambahkan versi GKE untuk GKE di VMware.
Pembaruan 22-01-2024: Menambahkan versi patch Ubuntu.
GKE
Diperbarui: 22-01-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 22-01-2024: Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Diperbarui: 29-02-2024
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Update 04-03-2024: Versi GKE on VMware berikut diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:
|
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-045
Dipublikasikan: 2023-11-20
Diperbarui: 2023-12-21
Referensi:
CVE-2023-5197
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:
Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-042
Dipublikasikan: 13-11-2023
Diperbarui: 15-11-2023
Referensi:
CVE-2023-4147
Pembaruan 15-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE.
GKE
Diperbarui: 15-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Cluster GKE Standard terpengaruh. Cluster GKE Autopilot tidak terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 15-11-2023: Anda hanya perlu mengupgrade ke salah satu versi yang di-patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Misalnya, jika menggunakan GKE versi 1.27, Anda harus mengupgrade ke versi yang di-patch yang sesuai. Namun, jika menggunakan GKE versi 1.24, Anda tidak perlu mengupgrade ke versi yang di-patch. Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:
Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi yang di-patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-041
Dipublikasikan: 08-11-2023
Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023
Referensi:
CVE-2023-4004
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Pembaruan 05-12-2023: Menambahkan versi GKE tambahan untuk node pool Container-Optimized OS.
Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 05-12-2023: Beberapa versi GKE sebelumnya tidak ada. Berikut adalah daftar versi GKE terbaru yang dapat Anda gunakan untuk mengupdate Container-Optimized OS:
Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:
Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-040
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4921
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:
Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-039
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 16-11-2023
Referensi:
CVE-2023-4622
Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 salah dicantumkan sebagai kerentanan dalam buletin keamanan versi sebelumnya.
GKE
Diperbarui: 21-11-2023, 16-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:
Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Diperbarui: 16-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Diperbarui: 16-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Diperbarui: 16-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Diperbarui: 16-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-038
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4623
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:
Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-037
Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4015
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:
Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tertunda |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2023-035
Dipublikasikan: 26-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:
Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
Tinggi |
GCP-2023-033
Dipublikasikan: 24-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi:
CVE-2023-3777
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh.
Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.
GKE
Diperbarui: 21-11-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox akan terpengaruh. Apa yang harus saya lakukan?Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh. Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:
Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:
|
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan? |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.
Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya. |
GCP-2023-030
Dipublikasikan: 10-10-2023
Diperbarui: 20-03-2024
Referensi: CVE-2023-44487CVE-2023-39325
Pembaruan 20-03-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure
Pembaruan 14-02-2024: Menambahkan versi patch
untuk GKE di VMware
Pembaruan 09-11-2023: Menambahkan CVE-2023-39325. Memperbarui versi GKE
dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325.
GKE
Diperbarui: 09-11-2023
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh. Apa yang harus saya lakukan?Pembaruan 09-11-2023: Kami telah merilis versi baru GKE yang menyertakan patch keamanan Go dan Kubernetes, yang dapat Anda gunakan untuk mengupdate cluster Anda sekarang. Dalam beberapa minggu mendatang, kami akan merilis perubahan tambahan pada platform kontrol GKE untuk mengurangi masalah ini lebih lanjut. Versi GKE berikut telah diupdate dengan patch untuk CVE-2023-44487 dan CVE-2023-39325:
Sebaiknya terapkan mitigasi berikut sesegera mungkin dan upgrade ke versi terbaru yang telah di-patch jika tersedia. Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan mengupgrade control plane Anda, dan juga membuat patch terlihat dalam postur keamanan GKE GKE jika tersedia untuk cluster Anda. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk saluran Anda, aktifkan notifikasi cluster. Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses panel kontrol: Anda dapat menambahkan jaringan yang diizinkan untuk cluster yang ada. Untuk mempelajari lebih lanjut, lihat jaringan yang diizinkan untuk cluster yang ada. Selain jaringan yang diizinkan yang Anda tambahkan, ada alamat IP preset yang dapat mengakses bidang kontrol GKE. Untuk mempelajari alamat ini lebih lanjut, lihat Akses ke endpoint panel kontrol. Item berikut meringkas isolasi cluster:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol GKE. |
Tinggi |
GKE on VMware
Diperbarui: 14-02-2024
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. GKE di VMware membuat cluster Kubernetes yang tidak dapat diakses langsung ke Internet secara default dan dilindungi dari kerentanan ini. Apa yang harus saya lakukan?Pembaruan 14-02-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi patch berikut atau yang lebih baru:
Jika Anda telah mengonfigurasi GKE di cluster Kubernetes VMware agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. GKE di AWS membuat cluster Kubernetes pribadi yang tidak dapat diakses secara langsung ke Internet secara default dan dilindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 20-03-2024: Versi GKE on AWS berikut telah diupdate dengan patch untuk CVE-2023-44487:
Jika Anda telah mengonfigurasi GKE di AWS agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. GKE di Azure membuat cluster Kubernetes pribadi yang tidak dapat diakses secara langsung ke Internet secara default dan dilindungi dari kerentanan ini. Apa yang harus saya lakukan?Update 20-03-2024: Versi GKE on Azure berikut telah diupdate dengan patch untuk CVE-2023-44487:
Jika Anda telah mengonfigurasi GKE di cluster Azure agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda.Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. Anthos on Bare Metal membuat cluster Kubernetes yang tidak dapat diakses langsung oleh Internet secara default dan dilindungi dari kerentanan ini. Apa yang harus saya lakukan?Jika Anda telah mengonfigurasi Anthos di cluster Kubernetes Bare Metal agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut. Untuk mempelajari lebih lanjut, lihat ringkasan keamanan GKE di Bare Metal. Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin. Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes. |
Tinggi |
GCP-2023-026
Dipublikasikan: 06-09-2023
Referensi: CVE-2023-3676,
CVE-2023-3955,
CVE-2023-3893
GKE
Deskripsi | Keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes. Cluster GKE hanya terpengaruh jika menyertakan node Windows. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool Anda ke salah satu versi GKE berikut:
Bidang kontrol GKE akan diupdate pada minggu 04-09-2023 untuk mengupdate
csi-proxy ke versi 1.1.3. Jika Anda mengupdate node sebelum update control plane,
Anda harus mengupdate node lagi setelah update untuk memanfaatkan proxy
baru. Anda dapat mengupdate node lagi, bahkan tanpa mengubah versi node, dengan menjalankan perintah Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki pembersihan input dan meneruskan string jalur buatan ini ke eksekutor perintah sebagai argumen tempat string tersebut akan mengeksekusi bagian string sebagai perintah terpisah. Perintah ini akan berjalan dengan hak istimewa administratif yang sama seperti yang dimiliki Kubelet. Dengan CVE-2023-3955, Kubelet memberi pengguna yang dapat membuat Pod kemampuan untuk mengeksekusi kode pada tingkat izin yang sama dengan izin istimewa agen Kubelet. Dengan CVE-2023-3893, kurangnya pembersihan input yang serupa memungkinkan pengguna yang dapat membuat Pod di node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin di node tersebut. Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell tersemat adalah indikasi kuat eksploitasi. ConfigMap dan Secret yang berisi perintah PowerShell tersemat dan dipasang ke Pod juga merupakan indikasi kuat eksploitasi. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes. Cluster hanya terpengaruh jika menyertakan node Windows. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki pembersihan input dan meneruskan string jalur buatan ini ke eksekutor perintah sebagai argumen tempat string tersebut akan mengeksekusi bagian string sebagai perintah terpisah. Perintah ini akan berjalan dengan hak istimewa administratif yang sama seperti yang dimiliki Kubelet. Dengan CVE-2023-3955, Kubelet memberi pengguna yang dapat membuat Pod kemampuan untuk mengeksekusi kode pada tingkat izin yang sama dengan izin istimewa agen Kubelet. Dengan CVE-2023-3893, kurangnya pembersihan input yang serupa memungkinkan pengguna yang dapat membuat Pod di node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin di node tersebut. Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell tersemat adalah indikasi kuat eksploitasi. ConfigMap dan Secret yang berisi perintah PowerShell tersemat dan dipasang ke dalam Pod juga merupakan indikasi kuat eksploitasi. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes. Apa yang harus saya lakukan?GKE on Bare Metal tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-018
Dipublikasikan: 27-06-2023
Referensi: CVE-2023-2235
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE Autopilot terpengaruh karena node GKE Autopilot selalu menggunakan image node Container-Optimized OS. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node Container-Optimized OS akan terpengaruh. Cluster GKE tidak akan terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum 1.25, atau menggunakan GKE Sandbox. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di cluster VMware terpengaruh. Apa yang harus saya lakukan?Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE di AWS terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE on Azure terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-017
Dipublikasikan: 2023-06-26
Diperbarui: 2023-07-11
Referensi: CVE-2023-31436
Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang melakukan patch CVE-2023-31436.
GKE
Diperbarui: 11-07-2023
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 11-07-2023: Versi patch Ubuntu tersedia. Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang melakukan patch pada CVE-2023-31436:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-31436, ditemukan adanya kekurangan akses memori di luar batas dalam subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di cluster VMware terpengaruh. Apa yang harus saya lakukan?Kerentanan apa yang sedang ditangani?Dengan CVE-2023-31436, ditemukan adanya kekurangan akses memori di luar batas dalam subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE di AWS terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-31436, ditemukan adanya kekurangan akses memori di luar batas dalam subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE on Azure terpengaruh. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2023-31436, ditemukan adanya kekurangan akses memori di luar batas dalam subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2023-016
Dipublikasikan: 26-06-2023
Referensi:
CVE-2023-27496,
CVE-2023-27488,
CVE-2023-27493,
CVE-2023-27492,
{11-2023-CVE,
{11-2023-202,
{11-CVE-202,
{11-274-202CVE-2023-27491CVE-2023-27487
GKE
Deskripsi | Keparahan |
---|---|
Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh (ASM). Hal ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE tidak dikirimkan dengan ASM dan tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Jika Anda telah menginstal ASM secara terpisah untuk cluster GKE, lihat GCP-2023-002. |
Tidak ada |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh di GKE di VMware, yang memungkinkan penyerang berbahaya untuk menyebabkan denial of service atau membuat Envoy error. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM. Apa yang harus saya lakukan?Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan dan diekspos, pelaku malicious dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error. CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan. CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti SAN sertifikat peer. CVE-2023-27492: Penyerang dapat mengirim isi permintaan yang besar untuk rute yang mengaktifkan filter Lua dan memicu error. CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat secara khusus untuk memicu error penguraian pada layanan upstream HTTP/1.
CVE-2023-27487: Header |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE di AWS tidak dikirimkan dengan ASM dan tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002. GKE di Azure tidak dikirimkan dengan ASM dan tidak terpengaruh. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh di GKE pada Bare Metal, yang memungkinkan penyerang berbahaya menyebabkan denial of service atau membuat Envoy error. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM. Apa yang harus saya lakukan?Versi GKE on Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di Bare Metal berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan dan diekspos, pelaku malicious dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error. CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan. CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti SAN sertifikat peer. CVE-2023-27492: Penyerang dapat mengirim isi permintaan yang besar untuk rute yang mengaktifkan filter Lua dan memicu error. CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat secara khusus untuk memicu error penguraian pada layanan upstream HTTP/1.
CVE-2023-27487: Header |
Tinggi |
GCP-2023-015
Dipublikasikan: 2023-06-20
Referensi: CVE-2023-0468
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Kerentanan apa yang sedang ditangani?Dalam CVE-2023-0468, ditemukan bug use-after-free di io_uring/poll.c di io_poll_check_events di subkomponen io_uring di Kernel Linux. Kekurangan ini dapat menyebabkan dereferensi pointer NULL, dan berpotensi menyebabkan error sistem yang menyebabkan penolakan layanan. |
Sedang |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node. GKE di VMware menggunakan Kernel Linux versi 5.4 dan tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node. GKE di AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node. GKE on Azure tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?
|
Tidak ada |
GCP-2023-014
Dipublikasikan: 15-06-2023
Diperbarui: 11-08-2023
Referensi: CVE-2023-2727, CVE-2023-2728
Pembaruan 11-08-2023: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan GKE di Bare Metal
GKE
Deskripsi | Keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728). GKE tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727. Semua versi GKE berpotensi rentan terhadap CVE-2023-2728.Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Tindakan ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu. Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama. Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on VMware
Diperbarui: 11-08-2023
Deskripsi | Keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728) Anthos di VMware tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727. Semua versi Anthos di VMware berpotensi rentan terhadap CVE-2023-2728. Apa yang harus saya lakukan?Pembaruan 11-08-2023: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama. Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on AWS
Diperbarui: 11-08-2023
Deskripsi | Keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Pembaruan 11-08-2023: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE on AWS berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama. Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on Azure
Diperbarui: 11-08-2023
Deskripsi | Keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Pembaruan 11-08-2023: Versi GKE on Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE di Azure berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama. Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:
|
Sedang |
GKE on Bare Metal
Diperbarui: 11-08-2023
Deskripsi | Keparahan |
---|---|
Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728) Apa yang harus saya lakukan?Pembaruan 11-08-2023: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual for Bare Metal berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama. Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:
|
Sedang |
GCP-2023-009
Dipublikasikan: 06-06-2023
Referensi: CVE-2023-2878
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. GKE tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. GKE di VMware tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE di VMware tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. GKE di AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE di AWS tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. GKE on Azure tidak terpengaruh oleh CVE ini Apa yang harus saya lakukan?Meskipun GKE di Azure tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. GKE on Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Meskipun GKE di Bare Metal tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui tanda -v. |
Tidak ada |
GCP-2023-008
Dipublikasikan: 2023-06-05
Referensi: CVE-2023-1872
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Cluster GKE Standard dan Autopilot terpengaruh. Cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Fungsi |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Fungsi |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Apa yang harus saya lakukan?Versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini: Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Fungsi |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Apa yang harus saya lakukan?Versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini: Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Fungsi |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. GKE on Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2023-005
Dipublikasikan: 18-05-2023
Diperbarui: 06-06-2023
Referensi: CVE-2023-1281, CVE-2023-1829
Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang menerapkan patch CVE-2023-1281 dan CVE-2023-1829.
GKE
Diperbarui: 06-06-2023
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dan cluster yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 06-06-2023: Versi patch Ubuntu tersedia. Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang melakukan patch CVE-2023-1281 dan CVE-2023-1829:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic (tcindex) Kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pembebasan struktur data dua kali. Pada CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan penggunaan setelah bebas saat |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic (tcindex) Kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pembebasan struktur data dua kali. Pada CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan penggunaan setelah bebas saat |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic (tcindex) Kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pembebasan struktur data dua kali. Pada CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan penggunaan setelah bebas saat |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Apa yang harus saya lakukan?Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic (tcindex) Kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pembebasan struktur data dua kali. Pada CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan penggunaan setelah bebas saat |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. GKE on Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2023-003
Dipublikasikan: 11-04-2023
Diperbarui: 21-12-2023
Referensi: CVE-2023-0240,
CVE-2023-23586
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Diperbarui: 21-12-2023
Deskripsi | Keparahan |
---|---|
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. Cluster GKE, termasuk cluster Autopilot, dengan COS yang menggunakan Linux Kernel versi 5.10 hingga 5.10.162 terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan 1 (CVE-2023-0240): Kondisi perlombaan di Kerentanan 2 (CVE-2023-23586): Use after free (UAF) di |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. GKE di cluster VMware dengan COS yang menggunakan Linux Kernel versi 5.10 hingga 5.10.162 terpengaruh. Cluster GKE Enterprise yang menggunakan image Ubuntu tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Kerentanan 1 (CVE-2023-0240): Kondisi perlombaan di Kerentanan 2 (CVE-2023-23586): Use after free (UAF) di |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. GKE di AWS tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. GKE on Azure tidak terpengaruh oleh CVE ini Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. GKE on Bare Metal tidak terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2023-001
Dipublikasikan: 01-03-2023
Diperbarui: 21-12-2023
Referensi: CVE-2022-4696
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
GKE
Deskripsi | Keparahan |
---|---|
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-4696, ditemukan bug use-after-free di io_uring dan ioring_op_splice di kernel Linux. Kekurangan ini memungkinkan pengguna lokal membuat eskalasi hak istimewa lokal. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di VMware yang menjalankan v1.12 dan v1.13 terpengaruh. GKE di VMware yang menjalankan v1.14 atau yang lebih baru tidak terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-4696, ditemukan bug use-after-free di io_uring dan ioring_op_splice di kernel Linux. Kekurangan ini memungkinkan pengguna lokal membuat eskalasi hak istimewa lokal. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di AWS tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE on Azure tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE on Bare Metal tidak terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
GCP-2022-026
Dipublikasikan: 11-01-2023
Referensi: CVE-2022-3786, CVE-2022-3602
GKE
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Meskipun masalah ini diberi rating Tinggi di database NVD, endpoint GKE menggunakan boringSSL atau OpenSSL versi lama yang tidak terpengaruh, sehingga ratingnya telah diturunkan menjadi Sedang untuk GKE. Apa yang harus saya lakukan?Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:
Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Tindakan ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3786 dan CVE-2022-3602, buffer overrun dapat dipicu dalam verifikasi sertifikat X.509 yang dapat menyebabkan error yang akan mengakibatkan denial of service. Agar dapat dieksploitasi, kerentanan ini mengharuskan CA menandatangani sertifikat berbahaya atau aplikasi melanjutkan verifikasi sertifikat meskipun gagal membuat jalur ke penerbit tepercaya. |
Sedang |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE di VMware tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Tindakan tidak diperlukan. |
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Tindakan tidak diperlukan. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Tindakan tidak diperlukan. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Apa yang harus saya lakukan?GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2022-025
Dipublikasikan: 21-12-2022
Diperbarui: 19-01-2023, 21-12-2023
Referensi: CVE-2022-2602
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Pembaruan 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
GKE
Diperbarui: 19-01-2023
Deskripsi | Keparahan |
---|---|
Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di kernel Linux yang dapat memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade node pool Anda ke versi ini atau yang lebih baru. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pengumpulan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di kernel Linux yang dapat memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. Versi GKE 1.11, 1.12, dan 1.13 di VMware terpengaruh. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. Versi GKE berikut di VMware berisi kode yang memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pengumpulan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di kernel Linux yang dapat memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. Apa yang harus saya lakukan?Versi GKE generasi saat ini dan sebelumnya di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pengumpulan sampah soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di kernel Linux yang dapat memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. Apa yang harus saya lakukan?Versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di Azure berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pengumpulan sampah soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di kernel Linux yang dapat memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2022-024
Dipublikasikan: 09-11-2022
Diperbarui: 19-01-2023
Referensi: CVE-2022-2585, CVE-2022-2588
Pembaruan 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
Update 16-12-2022: Menambahkan versi patch yang direvisi untuk GKE dan GKE di VMware.
GKE
Diperbarui: 19-01-2023
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade node pool Anda ke versi ini atau yang lebih baru. Pembaruan 16-12-2022: Buletin versi sebelumnya telah direvisi karena regresi rilis. Harap upgrade node pool Anda secara manual ke salah satu versi GKE berikut:
Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Update untuk GKE v1.22, 1.23, dan 1.25 akan segera tersedia. Buletin keamanan ini akan diperbarui saat tersedia. Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on VMware
Diperbarui: 16-12-2022
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node. GKE versi 1.13, 1.12, dan 1.11 di VMware terpengaruh. Apa yang harus saya lakukan?Pembaruan 16-12-2022: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
|
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node. Versi Kubernetes berikut di AWS mungkin terpengaruh:
Kubernetes V1.24 tidak terpengaruh. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke salah satu versi AWS Kubernetes berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploitasi use-after-free, bergantung pada cara timer dibuat dan dihapus. Dengan CVE-2022-2588, ditemukan bug use-after-free di route4_change di kernel Linux. Kekurangan ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi hak istimewa lokal. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node. Versi Kubernetes berikut di Azure mungkin terpengaruh:
Kubernetes V1.24 tidak terpengaruh. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke salah satu versi Azure Kubernetes berikut:
Kerentanan apa yang sedang ditangani?Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploitasi use-after-free, bergantung pada cara timer dibuat dan dihapus. Dengan CVE-2022-2588, ditemukan bug use-after-free di route4_change di kernel Linux. Kekurangan ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi hak istimewa lokal. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. Apa yang harus saya lakukan?Tindakan tidak diperlukan. |
Tidak ada |
GCP-2022-023
Dipublikasikan: 04-11-2022
Referensi: CVE-2022-39278
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat bidang kontrol error. Apa yang harus saya lakukan?Google Kubernetes Engine (GKE) tidak dikirimkan dengan Istio dan tidak terpengaruh oleh kerentanan ini. Namun, jika Anda telah menginstal Cloud Service Mesh atau Istio secara terpisah di cluster GKE, lihat GCP-2022-020, buletin keamanan Cloud Service Mesh tentang CVE ini, untuk mengetahui informasi selengkapnya. |
Tidak ada |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh di GKE di VMware, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol Istio. Apa yang harus saya lakukan?Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat panel kontrol error. Apa yang harus saya lakukan?GKE di AWS tidak terpengaruh oleh kerentanan ini dan tidak diperlukan tindakan apa pun. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat panel kontrol error. Apa yang harus saya lakukan?GKE di Azure tidak terpengaruh oleh kerentanan ini dan tidak diperlukan tindakan apa pun. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh di GKE pada Bare Metal, yang memungkinkan penyerang berbahaya membuat bidang kontrol Istio error. Apa yang harus saya lakukan?Versi GKE on Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster ke salah satu versi GKE di Bare Metal berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?
Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, |
Tinggi |
GCP-2022-022-updated
Dipublikasikan: 08-12-2022
Referensi: CVE-2022-20409
GKE
Diperbarui: 14-12-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Cluster Google Kubernetes Engine (GKE) v1.22, v1.23, dan v1.24, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 93 dan 97 terpengaruh. Versi GKE lainnya yang didukung tidak terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Pembaruan 14-12-2022: Versi buletin sebelumnya telah direvisi karena regresi rilis. Harap upgrade node pool Anda secara manual ke salah satu versi GKE berikut:
Versi GKE berikut yang menggunakan Container-Optimized OS versi 93 dan 97 telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan di io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk penolakan layanan (error sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tinggi |
GKE on VMware
Diperbarui: 14-12-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Apa yang harus saya lakukan?Pembaruan 14-12-2022: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan di io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk penolakan layanan (error sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan ke hak istimewa eksekusi sistem. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE on AWS tidak menggunakan versi kernel Linux yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan di io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk penolakan layanan (error sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan ke hak istimewa eksekusi sistem. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan di io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk penolakan layanan (error sistem) atau mungkin untuk mengeksekusi kode arbitrer. |
Tidak ada |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Apa yang harus saya lakukan?
|
Tidak ada |
GCP-2022-021
Dipublikasikan: 27-10-2022
Diperbarui: 19-01-2023, 21-12-2023
Referensi: CVE-2022-3176
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Pembaruan 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
Pembaruan 15-12-2022: Memperbarui informasi bahwa versi 1.21.14-gke.9400 Google Kubernetes Engine menunggu peluncuran dan dapat diganti dengan nomor versi yang lebih tinggi.
Update 21-11-2022: Menambahkan versi patch untuk
GKE di VMware, GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 19-01-2023, 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mendapatkan breakout penampung penuh ke root di node. Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster Google Kubernetes Engine (GKE) v1.21, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 89 akan terpengaruh. Versi GKE yang lebih baru tidak terpengaruh. Semua cluster Linux dengan Ubuntu akan terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak akan terpengaruh. Apa yang harus saya lakukan?Pembaruan 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade node pool Anda ke versi ini atau yang lebih baru. Pembaruan 15-12-2022: Versi 1.21.14-gke.9400 menunggu peluncuran dan mungkin diganti dengan nomor versi yang lebih tinggi. Kami akan memperbarui dokumen ini saat versi baru tersebut tersedia. Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa. |
Tinggi |
GKE on VMware
Diperbarui: 21-11-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai breakout penampung penuh ke root di node. Apa yang harus saya lakukan?
Pembaruan 21-11-2022: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:
Versi GKE di VMware yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa. |
Tinggi |
GKE on AWS
Diperbarui: 21-11-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mendapatkan breakout penampung penuh ke root di node. Apa yang harus saya lakukan?Pembaruan 21-11-2022: Versi GKE di AWS generasi saat ini dan sebelumnya berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut: Generasi saat ini
Versi GKE di AWS yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa. |
Tinggi |
GKE on Azure
Diperbarui: 21-11-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mendapatkan breakout penampung penuh ke root di node. Apa yang harus saya lakukan?Update 21-11-2022: Versi GKE on Azure berikut telah diupdate dengan kode untuk memperbaiki vulnerability ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di Azure berikut:
Versi GKE on Azure yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa. |
Tinggi |
GKE on Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai breakout penampung penuh ke root di node. Apa yang harus saya lakukan?Tindakan tidak diperlukan. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-018
Dipublikasikan: 01-08-2022
Diperbarui: 14-09-2022, 21-12-2023
Referensi: CVE-2022-2327
Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.
Pembaruan 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 21-12-2023
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node. Detail teknisPembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot
dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda
menetapkan profil Unconfined seccomp secara eksplisit atau
mengizinkan Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS (COS) yang menggunakan Linux Kernel versi 5.10 terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau menggunakan GKE Sandbox tidak terpengaruh. Apa yang harus saya lakukan?Upgrade cluster GKE Anda ke versi yang menyertakan perbaikan.
Image node Linux untuk COS telah diupdate bersama dengan versi GKE
yang menggunakan versi COS tersebut.
Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux dalam versi 5.10 memiliki kerentanan di subsistem io_uring tempat berbagai permintaan tidak memiliki jenis item (flag). Menggunakan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root. |
Tinggi |
GKE on VMware
Diperbarui: 14-09-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node. Cluster dengan image Container Optimized OS (COS) yang menggunakan GKE di VMware versi 1.10, 1.11, dan 1.12 terpengaruh. Apa yang harus saya lakukan?Pembaruan 14-09-2022: Versi GKE berikut di VMware berisi kode yang memperbaiki kerentanan ini.
Versi GKE di VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux dalam versi 5.10 memiliki kerentanan di subsistem io_uring tempat berbagai permintaan tidak memiliki jenis item (flag). Menggunakan permintaan ini tanpa jenis item yang sesuai yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root. |
Tinggi |
GKE on AWS
Diperbarui: 14-09-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node. Apa yang harus saya lakukan?Pembaruan 14-09-2022: Versi GKE generasi saat ini dan sebelumnya di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut: Generasi saat ini
Generasi sebelumnya
Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux dalam versi 5.10 memiliki kerentanan di subsistem io_uring tempat berbagai permintaan tidak memiliki jenis item (flag). Menggunakan permintaan ini tanpa jenis item yang sesuai yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root. |
Tinggi |
GKE on Azure
Diperbarui: 14-09-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node. Apa yang harus saya lakukan?Pembaruan 14-09-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di Azure berikut:
Versi GKE on Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-2327, kernel Linux dalam versi 5.10 memiliki kerentanan di subsistem io_uring tempat berbagai permintaan tidak memiliki jenis item (flag). Menggunakan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-017
Dipublikasikan: 29-06-2022
Diperbarui: 22-11-2022
Referensi: CVE-2022-1786
Update 22-11-2022: Memperbarui informasi tentang workload yang menggunakan GKE Sandbox.
Update 21-07-2022: Memperbarui informasi bahwa image GKE di VMware COS
terpengaruh.
GKE
Diperbarui: 22-11-2022
Deskripsi | Keparahan |
---|---|
Update 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini. Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Hanya cluster yang menjalankan Container-Optimized OS yang terpengaruh. Versi Ubuntu GKE menggunakan kernel versi 5.4 atau 5.15 dan tidak terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk Container-Optimized OS untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade kumpulan node secara manual ke salah satu versi GKE mendatang berikut:
Fitur saluran rilis terbaru memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-1786, ditemukan bug use-after-free di subsistem io_uring kernel Linux. Jika pengguna menyiapkan ring dengan IORING_SETUP_IOPOLL dengan lebih dari satu tugas yang menyelesaikan pengiriman di ring, pengguna lokal dapat mengalami error atau mengeskalasi hak istimewanya di sistem. |
Tinggi |
GKE on VMware
Diperbarui: 14-07-2022
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Apa yang harus saya lakukan?Pembaruan 21-07-2022: Versi GKE berikut di VMware berisi kode yang memperbaiki kerentanan ini. COS
UbuntuAnda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE on AWS tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh. |
Tidak ada |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-016
Dipublikasikan: 23-06-2022
Diperbarui: 22-11-2022
Referensi: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
Pembaruan 22-11-2022: Menambahkan informasi tentang beban kerja yang berjalan di cluster Autopilot.
Update 29-07-2022: Versi yang diperbarui untuk GKE di VMware, GKE di AWS, dan GKE di Azure.
GKE
Diperbarui: 22-11-2022
Deskripsi | Keparahan |
---|---|
Update 22-11-2022: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116. Pembaruan 29-07-2022: Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Semua cluster Linux (Container-Optimized OS dan Ubuntu) akan terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk Container-Optimized OS dan Ubuntu untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasi hak istimewa ke root. |
Tinggi |
GKE on VMware
Diperbarui: 29-07-2022
Deskripsi | Keparahan |
---|---|
Pembaruan 29-07-2022: Versi GKE berikut di VMware berisi kode yang memperbaiki kerentanan ini.
Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Kerentanan ini memengaruhi GKE di VMware v1.9 dan yang lebih baru untuk image Container-Optimized OS dan Ubuntu. Apa yang harus saya lakukan?Versi GKE di VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di VMware tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasi hak istimewa ke root. |
Tinggi |
GKE on AWS
Diperbarui: 29-07-2022
Deskripsi | Keparahan |
---|---|
Pembaruan 29-07-2022: Pembaruan: Versi GKE generasi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut: Generasi saat ini:
Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Kerentanan ini memengaruhi semua versi GKE di AWS. Apa yang harus saya lakukan?Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di AWS tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasi hak istimewa ke root. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Pembaruan 29-07-2022: Pembaruan: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di Azure berikut:
Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Kerentanan ini memengaruhi semua versi GKE di Azure. Apa yang harus saya lakukan?Versi GKE on Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring. CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasi hak istimewa ke root. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini karena tidak memaketkan sistem operasi dalam distribusinya. |
Tidak ada |
GCP-2022-014
Dipublikasikan: 26-04-2022
Diperbarui: 22-11-2022
Pembaruan 22-11-2022: Menambahkan informasi tentang beban kerja yang berjalan di cluster Autopilot.
Update 12-05-2022: Memperbarui versi patch untuk GKE di AWS dan GKE di Azure.
Referensi: CVE-2022-1055, CVE-2022-27666
GKE
Diperbarui: 22-11-2022
Deskripsi | Keparahan |
---|---|
Pembaruan 22-11-2022: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh oleh kerentanan ini. Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisPada CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam penampung mengeskalasikan hak istimewa ke root di node. Pada CVE-2022-27666, overflow buffering di esp/esp6_output_head memungkinkan penyerang lokal dalam penampung untuk mengeskalasikan hak istimewa ke root di node. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE mendatang berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisPada CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam penampung mengeskalasikan hak istimewa ke root di node. Pada CVE-2022-27666, overflow buffering di esp/esp6_output_head memungkinkan penyerang lokal dalam penampung untuk mengeskalasikan hak istimewa ke root di node. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. Versi GKE berikut di VMware atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on AWS
Diperbarui: 12-05-2022
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisPada CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam penampung mengeskalasikan hak istimewa ke root di node. Pada CVE-2022-27666, overflow buffering di esp/esp6_output_head memungkinkan penyerang lokal dalam penampung untuk mengeskalasikan hak istimewa ke root di node. Apa yang harus saya lakukan?Pembaruan 12-05-2022: Versi GKE di AWS generasi saat ini dan sebelumnya berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut: Generasi saat ini
Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE on Azure
Diperbarui: 12-05-2022
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisPada CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam penampung mengeskalasikan hak istimewa ke root di node. Pada CVE-2022-27666, overflow buffering di esp/esp6_output_head memungkinkan penyerang lokal dalam penampung untuk mengeskalasikan hak istimewa ke root di node. Apa yang harus saya lakukan?Update 12-05-2022: Versi GKE on Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di Azure berikut:
Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Detail teknisPada CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam penampung mengeskalasikan hak istimewa ke root di node. Pada CVE-2022-27666, overflow buffering di esp/esp6_output_head memungkinkan penyerang lokal dalam penampung untuk mengeskalasikan hak istimewa ke root di node. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual for Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan diupdate ke versi yang berisi perbaikan untuk CVE-2022-1055 dan CVE-2022-27666. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2022-013
Dipublikasikan: 11-04-2022
Diperbarui: 20-04-2022
Referensi: CVE-2022-23648
Update 22-04-2022: Memperbarui versi patch untuk Google Distributed Cloud Virtual for Bare Metal dan GKE di VMware.
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu) yang menggunakan containerd secara default. Semua node GKE, Autopilot, dan GKE Sandbox terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu. |
Sedang |
GKE on VMware
Diperbarui: 22-04-2022
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua GKE di VMware dengan stackdriver yang diaktifkan, yang menggunakan containerd. GKE on VMware versi 1.8, 1.9, dan 1.10 terpengaruh Apa yang harus saya lakukan?Pembaruan 22-04-2022: Versi GKE berikut di VMware berisi kode yang memperbaiki kerentanan ini.
Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Semua versi GKE on AWS terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut. GKE di AWS (generasi saat ini)
GKE di AWS (generasi sebelumnya)
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Semua versi GKE on Azure terpengaruh. Apa yang harus saya lakukan?Versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda sebagai berikut:
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
Google Distributed Cloud Virtual untuk Bare Metal
Diperbarui: 22-04-2022
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua Google Distributed Cloud Virtual for Bare Metal yang menggunakan containerd. Google Distributed Cloud Virtual untuk Bare Metal versi 1.8, 1.9, dan 1.10 terpengaruh Apa yang harus saya lakukan?Pembaruan 22-04-2022: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut berisi kode yang memperbaiki kerentanan ini.
Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual for Bare Metal berikut:
CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true. |
Sedang |
GCP-2022-012
Dipublikasikan: 07-04-2022
Diperbarui: 22-11-2022
Referensi: CVE-2022-0847
Update 22-11-2022: Memperbarui informasi tentang workload yang menggunakan GKE Sandbox.
GKE
Diperbarui: 22-11-2022
Deskripsi | Keparahan |
---|---|
Update 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini. Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa penampung ke root. Kerentanan ini memengaruhi semua versi node pool GKE v1.22 dan yang lebih baru yang menggunakan image Container-Optimized OS (Container-Optimized OS 93 dan yang lebih baru). Node pool GKE yang menggunakan OS Ubuntu tidak terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:
Fitur terbaru saluran rilis memungkinkan Anda menerapkan versi patch dari saluran rilis lain tanpa harus berhenti berlangganan dari saluran. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan di kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flags" dari struktur buffering pipa baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kekurangan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan mengeskalasi hak istimewanya. Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam versi node pool GKE yang telah diupdate. |
Tinggi |
GKE on VMware
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi GKE di VMware v1.10 untuk image Container-Optimized OS. Saat ini, GKE di VMware dengan Ubuntu menggunakan kernel versi 5.4 dan tidak rentan terhadap serangan ini. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan di kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flags" dari struktur buffering pipa baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kekurangan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan mengeskalasi hak istimewanya. Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam versi GKE yang diupdate di VMware. |
Tinggi |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi cluster terkelola GKE di AWS v1.21 dan cluster yang berjalan di GKE di AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk GKE terkelola di AWS, sebaiknya upgrade cluster pengguna dan nodepool Anda ke salah satu versi berikut:
Untuk GKE k-lite di AWS, sebaiknya upgrade objek AWSManagementService, AWSCluster, dan AWSNodePool ke versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan di kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flags" dari struktur buffering pipa baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kekurangan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan mengeskalasi hak istimewanya. |
Tinggi |
GKE on Azure
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi cluster terkelola GKE di Azure v1.21 yang menggunakan Ubuntu. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster pengguna dan nodepool ke versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan di kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flags" dari struktur buffering pipa baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kekurangan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan mengeskalasi hak istimewanya. |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual for Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan diupdate ke versi yang berisi perbaikan untuk CVE-2022-0847. |
Tinggi |
GCP-2022-011
Dipublikasikan: 22-03-2022
Diperbarui: 11-08-2022
Pembaruan 11-08-2022: Menambahkan detail selengkapnya tentang efek kesalahan konfigurasi SMT.
GKE
Deskripsi | Keparahan |
---|---|
Pembaruan 11-08-2022: Menambahkan informasi selengkapnya tentang konfigurasi Multi-Threading Simultan (SMT). SMT dimaksudkan untuk dinonaktifkan, tetapi diaktifkan pada versi yang tercantum. Jika Anda mengaktifkan SMT secara manual untuk node pool dengan sandbox, SMT akan tetap diaktifkan secara manual meskipun ada masalah ini. Ada kesalahan konfigurasi pada Simultaneous Multi-Threading (SMT), yang juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Konfigurasi yang salah membuat node berpotensi terekspos terhadap serangan side channel seperti Sampling Data Mikroarsitektur (MDS) (untuk konteks selengkapnya, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:
Jika Anda mengaktifkan SMT untuk node pool secara manual, masalah ini tidak akan memengaruhi node dengan sandbox. Apa yang harus saya lakukan?Upgrade node Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Node GKE Sandbox memiliki SMT yang dinonaktifkan secara default, sehingga mengurangi serangan side-channel. |
Sedang |
GCP-2022-009
Dipublikasikan: 01-03-2022
Diperbarui: 15-03-2022
GKE
Deskripsi | Keparahan |
---|---|
Pembaruan 15-03-2022: Menambahkan panduan hardening untuk GKE di AWS dan GKE di Azure. Menambahkan bagian tentang persistensi menggunakan webhook. Beberapa jalur yang tidak terduga untuk mengakses VM node di cluster GKE Autopilot dapat digunakan untuk mengeskalasi hak istimewa di cluster. Masalah ini telah diperbaiki dan Anda tidak perlu melakukan tindakan lebih lanjut. Perbaikan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami. Pengguna cluster GKE Standard dan GKE dapat secara opsional menerapkan kebijakan hardening serupa seperti yang dijelaskan di bawah. Detail teknisAkses host menggunakan pengecualian kebijakan pihak ketigaAgar Google Cloud dapat menawarkan pengelolaan node secara penuh, dan SLA tingkat Pod, Autopilot GKE membatasi beberapa primitif Kubernetes dengan hak istimewa tinggi untuk membatasi workload agar tidak memiliki akses level rendah ke VM node. Untuk menetapkan konteks ini: GKE Standard memberikan akses penuh ke komputasi yang mendasarinya, Autopilot memberikan akses terbatas, dan Cloud Run tidak memberikan akses. Autopilot melonggarkan beberapa batasan tersebut untuk daftar alat pihak ketiga yang telah ditentukan sebelumnya agar pelanggan dapat menjalankan alat tersebut di Autopilot tanpa modifikasi. Dengan menggunakan hak istimewa untuk membuat pod dengan pemasangan jalur host, peneliti dapat menjalankan penampung dengan hak istimewa di pod yang terlihat seperti salah satu alat pihak ketiga yang diizinkan untuk mendapatkan akses ke host. Kemampuan untuk menjadwalkan pod dengan cara ini diharapkan di GKE Standard, tetapi tidak di GKE Autopilot, karena mengabaikan batasan akses host yang digunakan untuk mengaktifkan SLA yang dijelaskan sebelumnya. Masalah ini telah diperbaiki dengan memperketat spesifikasi pod yang diizinkan pihak ketiga. Eskalasi akses dari root-on-nodeSelain akses host, pod Kami telah menghentikan penggunaan dan menghapus Sebagai langkah hardening sistem untuk mencegah jenis serangan ini di masa mendatang, kami akan menerapkan batasan Autopilot dalam rilis mendatang yang mencegah update pada akun layanan berbagai objek di namespace
Penambahan 15-03-2022: Persistensi menggunakan webhook yang mengubahWebhook yang diubah digunakan dalam laporan untuk mendapatkan akses dengan hak istimewa di cluster setelah terjadi kompromi. Ini adalah bagian standar dari Kubernetes API yang dibuat oleh admin cluster, dan ditampilkan kepada administrator saat Autopilot menambahkan dukungan untuk webhook yang ditentukan pelanggan. Akun layanan dengan hak istimewa di namespace defaultPenegakan kebijakan Autopilot sebelumnya mengizinkan dua akun layanan di namespace default: Apa yang harus saya lakukan?Kebijakan semua cluster GKE Autopilot telah diperbarui untuk menghapus akses host yang tidak diinginkan dan tidak diperlukan tindakan lebih lanjut. Hardening kebijakan lebih lanjut akan diterapkan ke Autopilot dalam beberapa minggu mendatang sebagai perlindungan sekunder. Anda tidak perlu melakukan tindakan apa pun. Cluster GKE Standard dan cluster GKE tidak terpengaruh karena pengguna sudah memiliki akses ke host. Sebagai tindakan hardening sistem, pengguna cluster GKE Standard dan cluster GKE dapat menerapkan perlindungan serupa dengan kebijakan Gatekeeper yang mencegah modifikasi mandiri workload dengan hak istimewa. Untuk petunjuknya, lihat panduan hardening berikut:
|
Rendah |
GCP-2022-008
CVE-2022-23606CVE-2022-21655CVE-2021-43826CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656
GKE
Deskripsi | Keparahan |
---|---|
Project Envoy baru-baru ini menemukan serangkaian kerentanan, CVE-2022-23606,
CVE-2022-21655,
CVE-2021-43826,
CVE-2021-43825,
CVE-2021-43824,
CVE-2022-21654,
CVE-2022-21657, dan
CVE-2022-21656
yang dapat memengaruhi cluster GKE yang menggunakan Anthos Service Mesh,
Istio-on-GKE, atau deployment Istio kustom. Semua masalah yang tercantum di bawah telah diperbaiki dalam rilis Envoy 1.21.1. Latar Belakang Teknis Detail tambahan untuk kerentanan ini tersedia di sini. Apa yang harus saya lakukan?Cluster GKE yang menjalankan Anthos Service Mesh harus diupgrade ke versi yang didukung dengan perbaikan pada kerentanan di atas
Cluster GKE yang menjalankan Istio-on-GKE harus diupgrade ke versi yang didukung dengan perbaikan pada kerentanan di atas
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
Tinggi |
GKE on VMware
Diperbarui: 28-04-2022
Deskripsi | Keparahan |
---|---|
Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. GKE di VMware terpengaruh karena Envoy digunakan dengan server metrik. CVE Envoy yang kami perbaiki tercantum di bawah. Kami akan memperbarui
buletin ini dengan versi tertentu saat tersedia:
Istio baru-baru ini merilis satu perbaikan kerentanan keamanan. Anthos di VMware terpengaruh karena Istio digunakan untuk ingress. CVE Istio yang kami perbaiki tercantum di bawah. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia: CVE-2022-23635 (skor CVSS 7,5, Tinggi): Istiod mengalami error saat menerima permintaan dengan header `authorization` yang dibuat khusus.Untuk deskripsi lengkap dan dampak CVE di atas, lihat buletin keamanan. Tambahan 28-04-2022: Apa yang harus saya lakukan?Versi GKE berikut di VMware memperbaiki kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
Tinggi |
Google Distributed Cloud Virtual untuk Bare Metal
Deskripsi | Keparahan |
---|---|
Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. Anthos
di Bare metal terpengaruh karena Envoy digunakan untuk server metrik.
CVE Envoy yang kami perbaiki dalam rilis 1.10.3, 1.9.6, dan 1.8.9
tercantum di bawah:
Untuk deskripsi lengkap dan dampak CVE di atas, lihat buletin keamanan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656 |
Tinggi |
GCP-2022-006
Dipublikasikan: 14-02-2022
Diperbarui: 16-05-2022
Pembaruan 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini.
Pembaruan 12-05-2022: Memperbarui versi patch untuk GKE,
Google Distributed Cloud Virtual untuk Bare Metal, GKE di VMware, dan GKE di AWS.
Memperbaiki masalah saat buletin keamanan untuk GKE di AWS tidak
ditampilkan saat ditambahkan pada 23-02-2022.
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
telah ditemukan dalam fungsi Apa yang harus saya lakukan?Pembaruan 16-05-2022: Selain versi GKE yang disebutkan dalam pembaruan 12-05-2022, GKE versi 1.19.16-gke.7800 atau yang lebih baru juga berisi kode yang memperbaiki kerentanan ini. Pembaruan 12-05-2022: Versi GKE berikut berisi kode yang memperbaiki kerentanan ini:
Pembaruan 15-02-2022: Pernyataan gVisor telah diperbaiki. Kerentanan ditemukan di
Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
telah ditemukan dalam fungsi Apa yang harus saya lakukan?Pembaruan 12-05-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini. COS
Kerentanan ditemukan di cgroup_release_agent_write kernel Linux dalam fungsi kernel/cgroup/cgroup-v1.c dan dapat digunakan sebagai breakout penampung. GKE di VMware tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu dan COS. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan pembatasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau penampung, misalnya dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GKE on AWS
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
telah ditemukan dalam fungsi Apa yang harus saya lakukan?Pembaruan 12-05-2022: Versi GKE generasi saat ini dan sebelumnya di AWS berikut berisi kode yang memperbaiki kerentanan ini: Generasi saat ini
Pembaruan 23-02-2022: Menambahkan catatan untuk GKE di AWS. GKE di AWS generasi sebelumnya dan saat ini tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan pembatasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau penampung, misalnya, dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GKE Enterprise aktif
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2022-0492,
telah ditemukan dalam fungsi Apa yang harus saya lakukan?Pembaruan 12-05-2022: Versi GKE berikut di Azure berisi kode yang memperbaiki kerentanan ini:
GKE on Azure tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan batasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau penampung, misalnya, dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini?CVE-2022-0492 |
Rendah |
GCP-2022-005
Dipublikasikan: 11-02-2022Diperbarui: 15-02-2022
Referensi: CVE-2021-43527
GKE
Deskripsi | Keparahan |
---|---|
Pembaruan 15-02-2022: Beberapa versi GKE yang disebutkan dalam buletin
asli digabungkan dengan perbaikan lainnya dan nomor versinya bertambah sebelum dirilis. Patch tersedia di versi GKE berikut:
Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang ditautkan ke versi libnss3 yang rentan yang ditemukan dalam versi NSS (Network Security Services) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Image GKE COS dan Ubuntu telah menginstal versi yang rentan, dan perlu di-patch. Secara potensial, CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Selain itu, aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh. Dampaknya bergantung pada cara NSS digunakan/dikonfigurasi. GKE tidak menggunakan libnss3 untuk API apa pun yang dapat diakses melalui internet. Dampaknya terbatas pada kode di host yang berjalan di luar penampung, yang kecil karena desain Chrome OS yang minimal. Kode GKE yang berjalan di dalam container menggunakan image dasar distroless golang tidak terpengaruh. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade bidang kontrol dan node Anda ke salah satu versi GKE berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang ditautkan ke versi libnss3 yang rentan yang ditemukan dalam versi NSS (Network Security Services) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara aplikasi tersebut mengonfigurasi NSS. Image GKE di VMware COS dan Ubuntu telah menginstal versi yang rentan, dan perlu di-patch. Secara potensial, CVE-2021-43527 dapat memiliki dampak yang luas pada aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS \#7, atau PKCS \#12. Selain itu, aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh. Dampaknya bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Anthos di VMware tidak menggunakan libnss3 untuk API apa pun yang dapat diakses secara publik, sehingga dampaknya terbatas dan tingkat keparahan CVE ini untuk GKE di VMware diberi rating Sedang. Apa yang harus saya lakukan?Versi image node Linux untuk versi Anthos berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade bidang kontrol dan node Anda ke salah satu versi Anthos berikut:
Apakah Anda menggunakan GKE on VMware versi yang lebih lama dari 1.18? Anda menggunakan versi Anthos di luar SLA dan sebaiknya mempertimbangkan untuk mengupgrade ke salah satu versi yang didukung. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
GKE Enterprise aktif
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang ditautkan ke versi libnss3 yang rentan yang ditemukan dalam versi NSS (Network Security Services) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Cluster Anthos di image Ubuntu Azure telah menginstal versi yang rentan, dan perlu di-patch. Secara potensial, CVE-2021-43527 dapat memiliki dampak yang luas pada aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Selain itu, aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh. Dampaknya bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Cluster Anthos di Azure tidak menggunakan libnss3 untuk API apa pun yang dapat diakses secara publik, sehingga dampaknya terbatas dan tingkat keparahan CVE ini untuk Anthos di Azure diberi rating Sedang. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi Anthos di Azure berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Sedang |
GCP-2022-004
Dipublikasikan: 04-02-2022Referensi: CVE-2021-4034
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket policy kit Linux (polkit), yang memungkinkan pengguna yang diautentikasi untuk melakukan serangan eskalasi hak istimewa. PolicyKit umumnya hanya digunakan di sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., sebagaimana diatur oleh kebijakan. Apa yang harus saya lakukan?GKE tidak terpengaruh karena modul yang rentan, policykit-1, tidak diinstal di image COS atau Ubuntu yang digunakan di GKE. Anda tidak perlu melakukan tindakan apa pun. |
Tidak ada |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket policy kit Linux (polkit), yang memungkinkan pengguna yang diautentikasi untuk melakukan serangan eskalasi hak istimewa. PolicyKit umumnya hanya digunakan di sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., sebagaimana diatur oleh kebijakan. Konfigurasi default GKE Enterprise sudah memberi pengguna hak istimewa "sudo" penuh, sehingga eksploitasi ini tidak mengubah postur keamanan GKE Enterprise yang ada Detail teknisAgar bug ini dapat dieksploitasi, penyerang memerlukan shell non-root di sistem file node dan menginstal pkexec versi yang rentan. Meskipun GKE di VMware menyertakan versi policykit-1 dalam image rilisnya, konfigurasi default GKE Enterprise mengizinkan sudo tanpa sandi kepada siapa saja yang sudah memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna lebih banyak hak istimewa daripada yang sudah mereka miliki. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak terpengaruh. |
Tidak ada |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
GKE di AWS tidak terpengaruh. Modul yang rentan, policykit-1, tidak diinstal di image Ubuntu yang digunakan oleh GKE versi saat ini dan sebelumnya di AWS. | Tidak ada |
GKE Enterprise aktif
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket policy kit Linux (polkit), yang memungkinkan pengguna yang diautentikasi untuk melakukan serangan eskalasi hak istimewa. PolicyKit umumnya hanya digunakan di sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., sebagaimana diatur oleh kebijakan. Konfigurasi default GKE Enterprise sudah memberi pengguna hak istimewa "sudo" penuh, sehingga eksploitasi ini tidak mengubah postur keamanan GKE Enterprise yang ada Detail teknisAgar bug ini dapat dieksploitasi, penyerang memerlukan shell non-root di sistem file node dan menginstal pkexec versi yang rentan. Meskipun GKE di Azure menyertakan versi policykit-1 dalam image rilisnya, konfigurasi default GKE Enterprise mengizinkan sudo tanpa sandi kepada siapa saja yang sudah memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna lebih banyak hak istimewa daripada yang sudah mereka miliki. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak terpengaruh. |
Tidak ada |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Google Distributed Cloud Virtual untuk Bare Metal mungkin terpengaruh, bergantung pada paket yang diinstal di sistem operasi yang dikelola pelanggan. Pindai image OS Anda dan terapkan patch jika perlu. | Tidak ada |
GCP-2022-002
Dipublikasikan: 01-02-2022Diperbarui: 07-03-2022
Referensi: CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
Pembaruan 04-02-2022: Menambahkan bagian untuk GKE di AWS dan GKE di Azure. Menambahkan update peluncuran untuk GKE dan GKE di VMware.
GKE
Diperbarui: 07-03-2022
Deskripsi | Keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan breakout penampung, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Lihat catatan rilis COS untuk mengetahui detail selengkapnya. Detail teknisPada CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit double free di packet_set_ring yang dapat menyebabkan container keluar ke node host. Dengan CVE-2022-0185, bug overflow heap di legacy_parse_param() dapat menyebabkan operasi tulis di luar batas yang akan menyebabkan breakout penampung. Jalur eksploitasi untuk kerentanan ini yang mengandalkan syscall "unshare" diblokir di cluster GKE Autopilot secara default menggunakan pemfilteran seccomp. Pengguna yang telah mengaktifkan profil seccomp runtime penampung default secara manual di cluster GKE Standard juga dilindungi. Apa yang harus saya lakukan?Pembaruan 07-03-2022:Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki semua kerentanan ini untuk image Ubuntu dan COS. Upgrade bidang kontrol dan node Anda ke salah satu versi GKE berikut.
Update 25-02-2022:Jika Anda menggunakan image node Ubuntu, 1.22.6-gke.1000 tidak mengatasi CVE-2021-22600. Kami akan memperbarui buletin ini dengan versi patch Ubuntu saat tersedia. Pembaruan 23-02-2022: Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.
Pembaruan 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari. Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.
Versi 1.22 dan 1.23 juga sedang dalam proses. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia. Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE di
Diperbarui: 23-02-2022
Deskripsi | Keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan breakout penampung, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk mengetahui detail selengkapnya. Detail teknisPada CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit double free di packet_set_ring yang dapat menyebabkan container keluar ke node host. Dengan CVE-2022-0185, bug overflow heap di legacy_parse_param() dapat menyebabkan operasi tulis di luar batas yang akan menyebabkan breakout penampung. Pengguna yang telah mengaktifkan profil seccomp runtime penampung default secara manual di cluster GKE Standard juga dilindungi. Apa yang harus saya lakukan?Update 23-02-2022: versi 1.10.2 (Memperbaiki CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185) kini dijadwalkan untuk 1 Maret. Update 23-02-2022: Menambahkan versi yang di-patch untuk mengatasi CVE-2021-2260. Versi 1.10.1 tidak mengatasi CVE-2021-22600, tetapi mengatasi kerentanan lainnya. Versi 1.9.4 dan 1.10.2, yang belum dirilis, akan mengatasi CVE-2021-22600. Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE di VMware berikut:
Update 04-02-2022: Menambahkan informasi tentang image Ubuntu yang tidak mengatasi CVE-2021-22600. Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE di VMware berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan breakout penampung, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk mengetahui detail selengkapnya. Detail teknisPada CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit double free di packet_set_ring yang dapat menyebabkan container keluar ke node host. Dengan CVE-2022-0185, bug overflow heap di legacy_parse_param() dapat menyebabkan operasi tulis di luar batas yang akan menyebabkan breakout penampung. Pengguna yang telah mengaktifkan profil seccomp runtime penampung default secara manual di cluster GKE Standard juga dilindungi. Apa yang harus saya lakukan?GKE on AWSVersi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi GKE di AWS berikut:
GKE di AWS (generasi sebelumnya)Versi image node Linux untuk versi GKE berikut di AWS (generasi sebelumnya) telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE di AWS (generasi sebelumnya) berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GKE Enterprise aktif
Deskripsi | Keparahan |
---|---|
Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan breakout penampung, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Lihat catatan rilis COS untuk mengetahui detail selengkapnya. Detail teknisPada CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem CVE-2021-22600 adalah eksploit double free di packet_set_ring yang dapat menyebabkan container keluar ke node host. Dengan CVE-2022-0185, bug overflow heap di legacy_parse_param() dapat menyebabkan operasi tulis di luar batas yang akan menyebabkan breakout penampung. Pengguna yang telah mengaktifkan profil seccomp runtime penampung default secara manual di cluster GKE Standard juga dilindungi. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi GKE di Azure berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2021-024
Dipublikasikan: 21-10-2021Referensi: CVE-2021-25742
GKE
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus mengetahui masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk mengetahui detail selengkapnya. |
Tidak ada |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus mengetahui masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk mengetahui detail selengkapnya. |
Tidak ada |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus mengetahui masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk mengetahui detail selengkapnya. |
Tidak ada |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace. Apa yang harus saya lakukan?Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus mengetahui masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk mengetahui detail selengkapnya. |
Tidak ada |
GCP-2021-019
Dipublikasikan: 29-09-2021GKE
Deskripsi | Keparahan |
---|---|
Ada masalah umum saat mengupdate resource Apakah saya terpengaruh?Jika kubectl get backendconfigs -A -o json | \ jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
Masalah ini memengaruhi versi GKE berikut:
Jika Anda tidak mengonfigurasi Google Cloud Armor pada resource Ingress melalui Apa yang harus saya lakukan?Upgrade bidang kontrol GKE Anda ke salah satu versi terupdate berikut yang mem-patch masalah ini dan memungkinkan resource
Masalah ini juga dapat dicegah dengan menghindari deployment resource Untuk mencegah masalah ini, hanya buat update pada Karena Contoh manifes berikut menjelaskan resource apiVersion: cloud.google.com/v1 kind: BackendConfig metadata: name: my-backend-config spec: securityPolicy: name: "ca-how-to-security-policy" Jika Anda memiliki sistem atau alat CI/CD yang secara rutin mengupdate resource |
Rendah |
GCP-2021-022
Dipublikasikan: 23-09-2021Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan telah ditemukan di modul LDAP Layanan Identitas Enterprise GKE (AIS) GKE pada VMware versi 1.8 dan 1.8.1, dengan kunci seed yang digunakan dalam pembuatan kunci dapat diprediksi. Dengan kerentanan ini, pengguna yang diautentikasi dapat menambahkan klaim arbitrer dan mengeskalasi hak istimewa tanpa batas waktu. Detail teknisPenambahan terbaru pada kode AIS membuat kunci simetris menggunakan modul math/rand golang, yang tidak cocok untuk kode sensitif keamanan. Modul ini digunakan dengan cara yang akan menghasilkan kunci yang dapat diprediksi. Selama verifikasi identitas, kunci layanan token aman (STS) dihasilkan yang kemudian dienkripsi dengan kunci simetris yang mudah diperoleh. Apa yang harus saya lakukan?Kerentanan ini hanya memengaruhi pelanggan yang menggunakan AIS di GKE pada VMware versi 1.8 dan 1.8.1. Untuk pengguna GKE di VMware 1.8, upgrade cluster Anda ke versi berikut:
|
Tinggi |
GCP-2021-021
Dipublikasikan: 22-09-2021Referensi: CVE-2020-8561
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561,
telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk
mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang mengontrol respons permintaan Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang melindungi dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561,
telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk
mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang mengontrol respons permintaan Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang melindungi dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561,
telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk
mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang mengontrol respons permintaan Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang melindungi dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan, CVE-2020-8561,
telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk
mengalihkan permintaan Detail teknisDengan kerentanan ini, aktor yang mengontrol respons permintaan Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API. Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun untuk saat ini. Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang melindungi dari jenis serangan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?<pCVE-2020-8561 </p |
Sedang |
GCP-2021-018
Dipublikasikan: 15-09-2021Diperbarui: 24-09-2021
Referensi: CVE-2021-25741
Pembaruan 24-09-2021: Buletin GKE on Bare Metal diperbarui dengan versi patch tambahan.
Pembaruan 20-09-2021: Buletin ditambahkan untuk GKE on Bare Metal
Pembaruan 16-09-2021: Buletin ditambahkan untuk GKE di VMware
GKE
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, yang memungkinkan pengguna membuat penampung dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang dipasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam penampung.Apa yang harus saya lakukan?Sebaiknya upgrade node pool Anda ke salah satu versi berikut atau yang lebih baru untuk memanfaatkan patch terbaru:
Versi berikut juga berisi perbaikan:
|
Tinggi |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, yang memungkinkan pengguna membuat penampung dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang dipasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam penampung.Apa yang harus saya lakukan?Diperbarui 24-09-2021: Versi yang di-patch 1.8.3 dan 1.7.4 kini tersedia. Diperbarui 17-09-2021: Memperbaiki daftar versi yang tersedia yang berisi patch. Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, yang memungkinkan pengguna membuat penampung dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang dipasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam penampung.Apa yang harus saya lakukan?Update 16-09-2021: Menambahkan daftar versi gke yang didukung untuk objek Versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda:
|
Tinggi |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, yang memungkinkan pengguna membuat penampung dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host. Detail teknis:Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang dipasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam penampung.Apa yang harus saya lakukan?Versi GKE on Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:
|
Tinggi |
GCP-2021-017
Dipublikasikan: 01-09-2021Diperbarui: 23-09-2021
Referensi: CVE-2021-33909
CVE-2021-33910
GKE
Deskripsi | Keparahan |
---|---|
Pembaruan 23-09-2021:Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini untuk serangan yang berasal dari dalam container. Pembaruan 15-09-2021:Versi GKE berikut mengatasi kerentanan tersebut:
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna tanpa hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Pada CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow bilangan bulat, Penulisan di Luar Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna tanpa hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Pada CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow bilangan bulat, Penulisan di Luar Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux untuk GKE di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna tanpa hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu). Detail teknis:Pada CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow bilangan bulat, Penulisan di Luar Batas, dan eskalasi ke root. Apa yang harus saya lakukan?Versi image node Linux dan COS untuk GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
|
Tinggi |
GCP-2021-015
Dipublikasikan: 13-07-2021Diperbarui: 15-07-2021
Referensi: CVE-2021-22555
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan baru, CVE-2021-22555,
telah ditemukan saat pelaku berbahaya dengan hak istimewa Detail teknis
Dalam serangan ini, operasi tulis di luar batas di Apa yang harus saya lakukan?Versi Linux berikut di GKE telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan keamanan baru, CVE-2021-22555,
telah ditemukan saat pelaku berbahaya dengan hak istimewa Detail teknis
Dalam serangan ini, operasi tulis di luar batas di Apa yang harus saya lakukan?Versi Linux berikut di GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:
Jenis kerentanan apa yang dapat diatasi oleh patch ini? |
Tinggi |
GCP-2021-014
Dipublikasikan: 05-07-2021Referensi: CVE-2021-34527
GKE
Deskripsi | Keparahan |
---|---|
Microsoft memublikasikan buletin keamanan tentang kerentanan Eksekusi kode jarak jauh (RCE), CVE-2021-34527, yang memengaruhi spooler pencetakan di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan update tentang kerentanan terkait, yang dijuluki "PrintNightmare" yang juga memengaruhi spooler pencetakan Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability Apa yang harus saya lakukan?Anda tidak perlu melakukan tindakan apa pun. Node Windows GKE tidak berisi layanan Spooler yang terpengaruh sebagai bagian dari image dasar, sehingga deployment Windows GKE tidak rentan terhadap serangan ini. Kerentanan apa yang ditangani oleh buletin ini?
|
Tinggi |
GCP-2021-012
Dipublikasikan: 01-07-2021Diperbarui: 09-07-2021
Referensi: CVE-2021-34824
GKE
Deskripsi | Keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, dengan kredensial yang ditentukan di kolom credentialName Gateway dan DestinationRule dapat diakses dari namespace yang berbeda. Detail teknis:Gateway aman Istio atau beban kerja yang menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, secret dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam secret dalam namespace-nya. Namun, bug di istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API mengambil sertifikat TLS dan kunci pribadi yang di-cache di istiod. Apa yang harus saya lakukan?Cluster GKE tidak menjalankan Istio secara default dan, jika diaktifkan, menggunakan Istio versi 1.6, yang tidak rentan terhadap serangan ini. Jika Anda telah menginstal atau mengupgrade Istio di cluster ke Istio 1.8 atau yang lebih baru, upgrade Istio ke versi terbaru yang didukung. |
Tinggi |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, dengan kredensial yang ditentukan di kolom credentialName Gateway dan DestinationRule dapat diakses dari namespace yang berbeda. Detail teknis:Gateway aman Istio atau beban kerja yang menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, secret dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam secret dalam namespace-nya. Namun, bug di istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API mengambil sertifikat TLS dan kunci pribadi yang di-cache di istiod. Apa yang harus saya lakukan?Cluster Anthos di VMware v1.6 dan v1.7 tidak rentan terhadap serangan ini. Cluster Anthos di VMware v1.8 rentan. Jika Anda menggunakan cluster Anthos di VMware v1.8, upgrade ke versi yang di-patch berikut atau yang lebih baru:
|
Tinggi |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Apa yang harus saya lakukan?Project Istio baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, dengan kredensial yang ditentukan di kolom credentialName Gateway dan DestinationRule dapat diakses dari namespace yang berbeda. Detail teknis:Gateway aman Istio atau beban kerja yang menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, secret dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS. Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam secret dalam namespace-nya. Namun, bug di istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API mengambil sertifikat TLS dan kunci pribadi yang di-cache di istiod. Cluster yang dibuat atau diupgrade dengan cluster Anthos on bare metal v1.8.0 terpengaruh oleh CVE ini. Apa yang harus saya lakukan?Anthos v1.6 dan 1.7 tidak rentan terhadap serangan ini. Jika Anda memiliki cluster v1.8.0, download dan instal bmctl versi 1.8.1 dan upgrade cluster Anda ke versi yang di-patch berikut:
|
Tinggi |
GCP-2021-011
Dipublikasikan: 04-06-2021Diperbarui: 19-10-2021
Referensi: CVE-2021-30465
Pembaruan 19-10-2021: Menambahkan buletin untuk GKE di VMware, GKE di AWS, dan GKE di Bare Metal.
GKE
Deskripsi | Keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru
(CVE-2021-30465)
yang ditemukan di Untuk GKE, karena mengeksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai keparahan kerentanan ini sebagai SEDANG. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi perlombaan dengan memulai beberapa pod di satu node secara bersamaan, yang semuanya memiliki pemasangan volume yang sama dengan symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?Ada patch yang baru dirilis untuk Upgrade cluster GKE Anda ke salah satu versi terupdate berikut:
|
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru
(CVE-2021-30465)
yang ditemukan di Untuk GKE di VMware, karena mengeksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai keparahan kerentanan ini sebagai SEDANG. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi perlombaan dengan memulai beberapa pod di satu node secara bersamaan, yang semuanya memiliki pemasangan volume yang sama dengan symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?Ada patch yang baru dirilis untuk
|
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru
(CVE-2021-30465)
yang ditemukan di Karena ini adalah kerentanan tingkat OS, GKE di AWS tidak rentan. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi perlombaan dengan memulai beberapa pod di satu node secara bersamaan, yang semuanya memiliki pemasangan volume yang sama dengan symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?Pastikan versi OS tempat Anda menjalankan GKE di AWS diupgrade ke versi OS terbaru yang memiliki paketrunc yang telah diupdate.
|
Tidak ada |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru
(CVE-2021-30465)
yang ditemukan di Karena ini adalah kerentanan tingkat OS, GKE di Bare Metal tidak rentan. Detail teknis
Paket Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi perlombaan dengan memulai beberapa pod di satu node secara bersamaan, yang semuanya memiliki pemasangan volume yang sama dengan symlink. Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root. Apa yang harus saya lakukan?
Pastikan versi OS tempat Anda menjalankan Google Distributed Cloud Virtual for Bare Metal
diupgrade ke versi OS terbaru yang memiliki paket |
Tidak ada |
GCP-2021-006
Dipublikasikan: 11-05-2021Referensi: CVE-2021-31920
GKE
Deskripsi | Keparahan |
---|---|
Project Istio baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-31920) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat mengabaikan kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan. Apa yang harus saya lakukan?Sebaiknya update dan konfigurasi ulang cluster GKE Anda. Perhatikan bahwa Anda harus menyelesaikan kedua langkah di bawah ini untuk berhasil mengatasi kerentanan:
|
Tinggi |
GCP-2021-004
Dipublikasikan: 06-05-2021Referensi: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258
GKE
Deskripsi | Keparahan |
---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat Envoy error. Cluster GKE tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin rentan terhadap serangan denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade bidang kontrol GKE Anda ke salah satu versi yang di-patch berikut:
|
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat Envoy error. GKE di VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap serangan denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade GKE Anda di VMware ke salah satu versi yang di-patch berikut saat dirilis:
|
Sedang |
Cluster GKE di
Diperbarui: 06-05-2021
Deskripsi | Keparahan |
---|---|
Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat Envoy error. Google Distributed Cloud Virtual for Bare Metal menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Google Distributed Cloud Virtual untuk Bare Metal ke salah satu versi yang di-patch berikut saat dirilis:
|
Sedang |
GCP-2021-003
Dipublikasikan: 19-04-2021Referensi: CVE-2021-25735
GKE
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Validating Admission Webhook. Dalam skenario saat penyerang memiliki hak istimewa yang memadai dan saat Validating
Admission Webhook diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster GKE Anda ke salah satu versi yang di-patch berikut:
|
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Validating Admission Webhook. Dalam skenario saat penyerang memiliki hak istimewa yang memadai dan saat Validating
Admission Webhook diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Validating Admission Webhook. Dalam skenario saat penyerang memiliki hak istimewa yang memadai dan saat Validating
Admission Webhook diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Validating Admission Webhook. Dalam skenario saat penyerang memiliki hak istimewa yang memadai dan saat Validating
Admission Webhook diterapkan yang menggunakan properti objek Apa yang harus saya lakukan?Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini. |
Sedang |
GCP-2021-001
Dipublikasikan: 28-01-2021Referensi: CVE-2021-3156
GKE
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di utilitas Linux Cluster Google Kubernetes Engine (GKE) tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena cluster GKE tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut. GKE akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme reguler. |
Tidak ada |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di utilitas Linux GKE di VMware tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena GKE di cluster VMware tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut. GKE di VMware akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme reguler. |
Tidak ada |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di utilitas Linux GKE on AWS tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena GKE di cluster AWS tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut. GKE di AWS akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme reguler. |
Tidak ada |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di utilitas Linux Cluster Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini:
Apa yang harus saya lakukan?Karena cluster Google Distributed Cloud Virtual for Bare Metal tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut. Google Distributed Cloud Virtual untuk Bare Metal akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme reguler. |
Tidak ada |
GCP-2020-015
Dipublikasikan: 07-12-2020Diperbarui: 22-12-2021
Referensi: CVE-2020-8554
Pembaruan 22-12-2021: Menggunakan gcloud beta
, bukan
perintah gcloud
.
Pembaruan 15-12-2021: Menambahkan mitigasi tambahan untuk GKE.
GKE
Deskripsi | Keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut
harus menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
Untuk mengetahui informasi selengkapnya, lihat Meningkatkan keamanan cluster Anda. Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah mendapatkan izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain di cluster. Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes. Semua cluster Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya di versi mendatang untuk mengatasi kerentanan. Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, sebaiknya terapkan mitigasi untuk sementara. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah membatasi penggunaan ExternalIPs dalam cluster. ExternalIPs bukan fitur yang umum digunakan. Batasi penggunaan ExternalIP di cluster dengan salah satu metode berikut:
Seperti yang disebutkan dalam
pengumuman Kubernetes,
tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan
hak istimewa tinggi dan komponen sistem yang diberi izin
|
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut
harus menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
Untuk informasi selengkapnya, lihat Meningkatkan keamanan cluster Anda. Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah mendapatkan izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain di cluster. Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes. Semua GKE di VMware terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya di versi mendatang untuk mengatasi kerentanan. Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, sebaiknya terapkan mitigasi untuk sementara. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah membatasi penggunaan ExternalIPs dalam cluster. ExternalIPs bukan fitur yang umum digunakan. Batasi penggunaan ExternalIP di cluster dengan salah satu metode berikut:
Seperti yang disebutkan dalam
pengumuman Kubernetes,
tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan
hak istimewa tinggi dan komponen sistem yang diberi izin
|
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut
harus menggunakan gcloud beta , bukan perintah gcloud .
gcloud beta container clusters update –no-enable-service-externalips Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
Untuk mengetahui informasi selengkapnya, lihat Meningkatkan keamanan cluster Anda. Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah mendapatkan izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain di cluster. Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes. Semua GKE di AWS terpengaruh oleh kerentanan ini. Apa yang harus saya lakukan?Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya di versi mendatang untuk mengatasi kerentanan. Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, sebaiknya terapkan mitigasi untuk sementara. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah membatasi penggunaan ExternalIPs dalam cluster. ExternalIPs bukan fitur yang umum digunakan. Batasi penggunaan ExternalIP di cluster dengan salah satu metode berikut:
Seperti yang disebutkan dalam
pengumuman Kubernetes,
tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan
hak istimewa tinggi dan komponen sistem yang diberi izin
|
Sedang |
GCP-2020-014
Dipublikasikan: 20-10-2020Referensi: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566
GKE
Diperbarui: 20-10-2020
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Masalahnya adalah:
GKE tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan lebih lanjut karena tingkat logging panjang default GKE. |
Tidak ada |
Cluster GKE di
Diperbarui: 10-10-2020
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Masalahnya adalah:
GKE on VMware tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan lebih lanjut karena tingkat logging panjang default GKE. |
Tidak ada |
Cluster GKE di
Diperbarui: 20-10-2020
Deskripsi | Keparahan |
---|---|
Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Masalahnya adalah:
GKE di AWS tidak terpengaruh. Apa yang harus saya lakukan?Tidak perlu tindakan lebih lanjut karena tingkat logging panjang default GKE. |
Tidak ada |
GCP-2020-012
Dipublikasikan: 14-09-2020Referensi: CVE-2020-14386
GKE
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang dapat memungkinkan container escape mendapatkan hak istimewa root di node host. Semua node GKE terpengaruh. Pod yang berjalan di GKE Sandbox tidak dapat memanfaatkan kerentanan ini. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade panel kontrol, lalu node Anda ke salah satu versi yang di-patch yang tercantum di bawah:
Untuk mengeksploitasi kerentanan ini, Anda memerlukan Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386,
yang memungkinkan container dengan |
Tinggi |
Cluster GKE di
Diperbarui: 17-09-2020
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang dapat memungkinkan container escape mendapatkan hak istimewa root di node host. Semua node GKE di VMware terpengaruh. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. Versi {gke_on_prem_name}} mendatang berikut akan berisi perbaikan untuk kerentanan ini, dan buletin ini akan diperbarui saat tersedia:
Untuk mengeksploitasi kerentanan ini, Anda memerlukan Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386,
yang memungkinkan container dengan |
Tinggi |
Cluster GKE di
Diperbarui: 13-10-2020
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang dapat memungkinkan container escape mendapatkan hak istimewa root di node host. Semua node GKE on AWS terpengaruh. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade layanan pengelolaan dan cluster pengguna ke versi yang di-patch. Versi GKE mendatang di AWS berikut atau yang lebih baru akan menyertakan perbaikan untuk kerentanan ini, dan buletin ini akan diperbarui saat tersedia:
Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan CVE-2020-14386,
yang memungkinkan container dengan |
Tinggi |
GCP-2020-011
Dipublikasikan: 24-07-2020Referensi: CVE-2020-8558
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang dengan akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi. Untuk mengeksploitasi kerentanan ini di cluster GKE, penyerang harus memiliki hak istimewa administrator jaringan di Google Cloud yang menghosting VPC cluster. Kerentanan ini saja tidak memberi penyerang hak istimewa administrator jaringan. Oleh karena itu, kerentanan ini telah ditetapkan tingkat keparahannya sebagai Rendah untuk GKE. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade node pool cluster Anda ke versi GKE berikut (dan yang lebih baru):
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Rendah |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang dengan akses ke jaringan cluster mengirim traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi. Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. Versi GKE di VMware mendatang atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang dengan akses ke jaringan cluster mengirim traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi. Untuk mengeksploitasi kerentanan ini di cluster pengguna, penyerang harus menonaktifkan
pemeriksaan tujuan sumber
pada instance EC2 di cluster. Hal ini mengharuskan penyerang memiliki izin AWS IAM
untuk Apa yang harus saya lakukan?Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. Versi GKE di AWS mendatang atau yang lebih baru berikut diharapkan akan menyertakan perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan berikut: CVE-2020-8558. |
Rendah |
GCP-2020-009
Dipublikasikan: 15-07-2020Referensi: CVE-2020-8559
GKE
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan eskalasi hak istimewa, CVE-2020-8559, di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif. Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node di cluster Anda harus sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan membahayakan node apa pun di cluster Anda. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. Cluster akan diupgrade secara otomatis selama beberapa minggu ke depan, dan versi yang di-patch akan tersedia paling lambat 19 Juli 2020 untuk jadwal upgrade manual yang dipercepat. Versi control plane GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini diberi rating sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif selain node yang sudah disusupi. Kerentanan ini sendiri tidak akan memberikan node yang disusupi kepada penyerang. |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan eskalasi hak istimewa, CVE-2020-8559, di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif. Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node di cluster Anda harus sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan membahayakan node apa pun di cluster Anda. Apa yang harus saya lakukan?Upgrade cluster Anda ke versi yang di-patch. GKE mendatang di VMware versi berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini diberi rating sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif selain node yang sudah disusupi. Kerentanan ini sendiri tidak akan memberikan node yang disusupi kepada penyerang. |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan eskalasi hak istimewa, CVE-2020-8559, di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif. Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node di cluster Anda harus sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan membahayakan node apa pun di cluster Anda. Apa yang harus saya lakukan?GKE di AWS GA (1.4.1, tersedia akhir Juli 2020) atau yang lebih baru menyertakan patch untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download alat command line anthos-gke versi baru dan buat ulang cluster pengguna dan pengelolaan Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini diberi rating sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif selain node yang sudah disusupi. Kerentanan ini sendiri tidak akan memberikan node yang disusupi kepada penyerang. |
Sedang |
GCP-2020-007
Dipublikasikan: 01-06-2020Referensi: CVE-2020-8555
GKE
Deskripsi | Keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang diberi otorisasi untuk membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade panel kontrol ke versi patch terbaru, seperti yang kami jelaskan di bawah. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut. Sebagian besar cluster sudah menjalankan versi yang di-patch. Versi GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Cluster yang menggunakan saluran rilis sudah menggunakan versi bidang kontrol dengan mitigasi. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol. Penyerang dengan izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan Jika digabungkan dengan cara untuk membocorkan hasil |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang diberi otorisasi untuk membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya upgrade panel kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?Versi GKE berikut di VMware atau yang lebih baru berisi perbaikan untuk kerentanan ini:
Jika Anda menggunakan versi sebelumnya, upgrade cluster yang ada ke versi yang berisi perbaikan. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol. Penyerang dengan izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan Jika digabungkan dengan cara untuk membocorkan hasil |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang diberi otorisasi untuk membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya upgrade panel kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Upgrade node tidak diperlukan. Apa yang harus saya lakukan?GKE di AWS v0.2.0 atau yang lebih baru sudah menyertakan patch untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download alat command line anthos-gke versi baru dan buat ulang cluster pengguna dan pengelolaan Anda. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol. Penyerang dengan izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan Jika digabungkan dengan cara untuk membocorkan hasil |
Sedang |
GCP-2020-006
Dipublikasikan: 01-06-2020Referensi: Masalah Kubernetes 91507
GKE
Deskripsi | Keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan penampung dengan hak istimewa mengalihkan traffic node ke penampung lain. Traffic TLS/SSH bersama, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Apa yang harus saya lakukan?Untuk mengurangi kerentanan ini, upgrade panel kontrol, lalu node Anda ke salah satu versi yang di-patch yang tercantum di bawah. Cluster di saluran rilis sudah menjalankan versi yang di-patch di bidang kontrol dan node:
Sangat sedikit penampung yang biasanya memerlukan Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan yang dijelaskan dalam
masalah Kubernetes 91507
kemampuan |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan penampung dengan hak istimewa mengalihkan traffic node ke penampung lain. Traffic TLS/SSH bersama, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Apa yang harus saya lakukan?Untuk mengurangi kerentanan ini untuk GKE di VMware, upgrade cluster Anda ke versi berikut atau yang lebih baru:
Sangat sedikit penampung yang biasanya memerlukan Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan yang dijelaskan dalam
masalah Kubernetes 91507
kemampuan |
Sedang |
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Kubernetes telah mengungkapkan kerentanan yang memungkinkan penampung dengan hak istimewa mengalihkan traffic node ke penampung lain. Traffic TLS/SSH bersama, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Apa yang harus saya lakukan?Download alat command line anthos-gke dengan versi berikut atau yang lebih baru dan buat ulang cluster pengelolaan dan pengguna Anda:
Sangat sedikit penampung yang biasanya memerlukan Hapus kemampuan
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: Kerentanan yang dijelaskan dalam
masalah Kubernetes 91507
kemampuan |
Sedang |
GCP-2020-005
Dipublikasikan: 07-05-2020Diperbarui: 07-05-2020
Referensi: CVE-2020-8835
GKE
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-8835, yang memungkinkan container escape mendapatkan hak istimewa root di node host. Node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17 terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru secepatnya, seperti yang dijelaskan di bawah ini. Node yang menjalankan Container-Optimized OS tidak akan terpengaruh. Node yang berjalan di GKE di VMware tidak terpengaruh. Apa yang harus saya lakukan?Bagi sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut. Hanya node yang menjalankan Ubuntu di GKE versi 1.16 atau 1.17 yang terpengaruh. Agar dapat mengupgrade node, pertama-tama upgrade master ke versi terbaru. Patch ini tersedia dalam Kubernetes 1.16.8-gke.12, 1.17.4-gke.10, dan rilis yang lebih baru. Lacak ketersediaan patch ini di catatan rilis. Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini mengurangi jenis kerentanan berikut: CVE-2020-8835 menjelaskan kerentanan di kernel Linux versi 5.5.0 dan yang lebih baru yang memungkinkan penampung berbahaya (dengan interaksi pengguna minimal dalam bentuk exec) membaca dan menulis memori kernel sehingga mendapatkan eksekusi kode level root di node host. Kerentanan ini dinilai sebagai kerentanan keparahan 'Tinggi'. |
Tinggi |
GCP-2020-004
Dipublikasikan: 07-05-2020Diperbarui: 07-05-2020
Referensi: CVE-2019-11254
Cluster GKE di
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di Kubernetes, yang dijelaskan dalam CVE-2019-11254, yang memungkinkan pengguna yang diberi otorisasi untuk membuat permintaan POST mengeksekusi serangan Denial of Service jarak jauh di server Kubernetes API. Kubernetes Product Security Committee (PSC) merilis informasi tambahan tentang kerentanan ini yang dapat ditemukan di sini. Anda dapat mengurangi kerentanan ini dengan membatasi klien mana yang memiliki akses jaringan ke server Kubernetes API Anda. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan untuk kerentanan ini segera setelah tersedia. Versi patch yang berisi perbaikan tercantum di bawah:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut: |
Sedang |
GCP-2020-003
Dipublikasikan: 31-03-2020Diperbarui: 31-03-2020
Referensi: CVE-2019-11254
GKE
Deskripsi | Keparahan |
---|---|
Baru-baru ini ditemukan kerentanan di Kubernetes, yang dijelaskan dalam CVE-2019-11254, yang memungkinkan pengguna yang diberi otorisasi untuk membuat permintaan POST mengeksekusi serangan Denial of Service jarak jauh di server Kubernetes API. Kubernetes Product Security Committee (PSC) merilis informasi tambahan tentang kerentanan ini yang dapat ditemukan di sini. Cluster GKE yang menggunakan Jaringan Master yang Diizinkan dan Cluster pribadi tanpa endpoint publik mengurangi kerentanan ini. Apa yang harus saya lakukan?Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan untuk kerentanan ini. Versi patch yang berisi perbaikan tercantum di bawah:
Jenis kerentanan apa yang dapat diatasi oleh patch ini?Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut: |
Sedang |
GCP-2020-002
Dipublikasikan: 23-03-2020Diperbarui: 23-03-2020
Referensi: CVE-2020-8551, CVE-2020-8552
GKE
Deskripsi | Keparahan |
---|---|
Kubernetes telah mengungkapkan dua kerentanan denial of service, satu memengaruhi server API, dan satu lagi memengaruhi Kubelet. Untuk detail selengkapnya, lihat masalah Kubernetes: 89377 dan 89378. Apa yang harus saya lakukan?Semua pengguna GKE dilindungi dari CVE-2020-8551, kecuali jika pengguna yang tidak tepercaya dapat mengirim permintaan dalam jaringan internal cluster. Penggunaan jaringan master yang diizinkan juga mengurangi risiko CVE-2020-8552. Kapan patch ini akan diterapkan?Patch untuk CVE-2020-8551 memerlukan upgrade node. Versi patch yang akan berisi mitigasi tercantum di bawah:
Patch untuk CVE-2020-8552 memerlukan upgrade master. Versi patch yang akan berisi mitigasi tercantum di bawah:
|
Sedang |
GCP-january_21_2020
Dipublikasikan: 21-01-2020Diperbarui: 24-01-2020
Referensi: CVE-2019-11254
GKE
Deskripsi | Keparahan |
---|---|
Pembaruan 24-01-2020: Proses penyediaan versi yang ditambal sudah berlangsung dan akan selesai paling lambat 25 Januari 2020. Microsoft telah mengungkapkan kerentanan di Windows Crypto API dan validasi tanda tangan elliptic curve-nya. Untuk informasi selengkapnya, lihat pengungkapan Microsoft. Apa yang sebaiknya saya lakukan? Bagi sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut. Hanya node yang menjalankan Windows Server yang terpengaruh. Untuk pelanggan yang menggunakan node Windows Server, node dan workload dalam penampung yang berjalan di node tersebut harus diupdate ke versi yang di-patch untuk mengurangi kerentanan ini. Untuk memperbarui penampung: Build ulang container Anda menggunakan image container dasar terbaru Microsoft, dengan memilih tag servercore atau nanoserver dengan Waktu Terakhir Diupdate 14/01/2020 atau yang lebih baru. Untuk memperbarui node: Proses penyediaan versi yang di-patch sudah sedang berlangsung dan akan selesai paling lambat 24 Januari 2020. Anda dapat menunggu hingga waktu tersebut dan melakukan upgrade node ke versi GKE yang di-patch atau menggunakan Windows Update untuk men-deploy patch Windows terbaru secara manual kapan saja. Versi patch yang akan berisi mitigasi tercantum di bawah:
Kerentanan apa yang diatasi oleh patch ini? Patch ini mengurangi jenis kerentanan berikut: CVE-2020-0601 - Kerentanan ini juga dikenal sebagai Kerentanan Spoofing Crypto API Windows dan dapat dieksploitasi untuk membuat file yang dapat dieksekusi berbahaya tampak tepercaya atau memungkinkan penyerang melakukan serangan man-in-the-middle dan mendekripsi informasi rahasia pada koneksi TLS ke software yang terpengaruh. |
Skor Dasar NVD: 8,1 (Tinggi) |
Buletin keamanan yang diarsipkan
Untuk buletin keamanan sebelum tahun 2020, lihat Arsip buletin keamanan.