Buletin keamanan


Semua buletin keamanan untuk produk berikut dijelaskan di halaman ini:

  • Google Kubernetes Engine (GKE)
  • Google Distributed Cloud (khusus software) di VMware
  • GKE on AWS
  • GKE on Azure
  • Google Distributed Cloud (khusus software) di bare metal

Kerentanan sering kali dirahasiakan di embargo sampai pihak terdampak berkesempatan mengatasinya. Dalam hal ini, catatan rilis produk akan merujuk pada "update keamanan" hingga embargo dicabut. Pada tahap ini, catatan akan diperbarui untuk menunjukkan kerentanan yang dapat diatasi patch.

Saat GKE mengeluarkan buletin keamanan yang berkaitan langsung dengan konfigurasi atau versi cluster, kami mungkin mengirimkan notifikasi cluster SecurityBulletinEvent yang memberikan informasi tentang kerentanan dan tindakan yang dapat Anda ambil, jika berlaku. Untuk informasi tentang cara menyiapkan notifikasi cluster, lihat Notifikasi cluster.

Untuk informasi selengkapnya tentang cara Google mengelola kerentanan dan patch keamanan untuk GKE dan GKE Enterprise, lihat Patching keamanan.

Platform GKE dan GKE Enterprise tidak menggunakan komponen seperti ingress-nginx dan runtime penampung CRI-O, serta tidak terpengaruh oleh kerentanan apa pun dalam komponen tersebut. Jika Anda menginstal komponen dari sumber lain, lihat update keamanan dan saran patch komponen tersebut di sumbernya.

Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini.

GCP-2024-062

Dipublikasikan: 02-12-2024
Referensi: CVE-2024-46800

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-46800

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1217000
  • 1.29.9-gke.1496000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-46800

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-46800

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-46800

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-46800

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-061

Dipublikasikan: 25-11-2024
Referensi: CVE-2024-10220

GKE

Deskripsi Keparahan

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna yang memiliki kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Apa yang harus saya lakukan?

Upgrade cluster dan node pool GKE Anda ke versi yang di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

Untuk tujuan keamanan, meskipun upgrade otomatis node diaktifkan, sebaiknya upgrade cluster dan node pool Anda secara manual ke versi GKE yang di-patch. Saluran rilis GKE memungkinkan Anda melakukan patch tanpa harus berhenti berlangganan atau mengubah saluran rilis. Tindakan ini memungkinkan Anda mengamankan cluster dan node sebelum versi baru menjadi default di saluran rilis yang dipilih.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2024-10220 memungkinkan penyerang membuat Pod dan mengaitkan volume gitRepo untuk mengeksekusi perintah arbitrer di luar batas penampung.

Tinggi

GDC (VMware)

Deskripsi Keparahan

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna dengan kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Apa yang harus saya lakukan?

Tinggi

GKE on AWS

Deskripsi Keparahan

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna dengan kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Apa yang harus saya lakukan?

Tinggi

GKE on Azure

Deskripsi Keparahan

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna dengan kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Apa yang harus saya lakukan?

Tinggi

GDC (bare metal)

Deskripsi Keparahan

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna dengan kemampuan untuk membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas penampung.

Apa yang harus saya lakukan?

Tinggi

GCP-2024-057

Dipublikasikan: 03-10-2024
Diperbarui: 19-11-2024
Referensi: CVE-2024-45016

Update 19-11-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Pembaruan 15-10-2024: Menambahkan versi patch untuk GDC (VMware). Memperbarui tingkat keparahan GDC (VMware) dari Tertunda menjadi Sedang. Memperbarui tingkat keparahan GKE dari Tinggi menjadi Sedang.

GKE

Diperbarui: 19-11-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-45016

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 19-11-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.16-gke.1784000
  • 1.28.15-gke.1080000
  • 1.29.10-gke.1155000
  • 1.30.6-gke.1059000
  • 1.31.2-gke.1354000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.16-gke.1478000
  • 1.28.14-gke.1099000
  • 1.29.9-gke.1177000
  • 1.30.5-gke.1145000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Sedang

GDC (VMware)

Diperbarui: 15-10-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-45016

Apa yang harus saya lakukan?

Update 15-10-2024: Versi GDC (VMware) berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster GDC (VMware) Anda ke versi berikut atau yang lebih baru:

  • 1.30.100-gke.96
  • 1.29.600-gke.109
  • 1.28.1000-gke.59

Sedang

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-45016

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-45016

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-45016

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-056

Dipublikasikan: 27-09-2024
Referensi: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177

GKE

Deskripsi Keparahan

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

GKE tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GDC (VMware)

Deskripsi Keparahan

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

Software GDC untuk VMware tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GKE on AWS

Deskripsi Keparahan

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

GKE di AWS tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GKE on Azure

Deskripsi Keparahan

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

GKE di Azure tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GDC (bare metal)

Deskripsi Keparahan

Rantai kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan di sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan mereka dapat terhubung ke port tersebut.

Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GCP-2024-054

Dipublikasikan: 23-09-2024
Referensi: CVE-2024-5321

GKE

Deskripsi Keparahan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

Semua lingkungan Kubernetes dengan node Windows terpengaruh. Jalankan kubectl get nodes -l kubernetes.io/os=windows untuk melihat apakah ada node Windows yang sedang digunakan.

Versi GKE yang terpengaruh

  • 1.27.15 dan yang lebih lama
  • 1.28.11 dan yang lebih lama
  • 1.29.6 dan yang lebih lama
  • 1.30.2 dan yang lebih lama

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut atau yang lebih baru:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan apa yang sedang ditangani?

CVE-2024-5321

Sedang

GDC (VMware)

Deskripsi Keparahan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

Semua lingkungan Kubernetes dengan node Windows terpengaruh. Jalankan kubectl get nodes -l kubernetes.io/os=windows untuk melihat apakah ada node Windows yang sedang digunakan.

Apa yang harus saya lakukan?

Versi patch untuk software GDC untuk VMware sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia.

Kerentanan apa yang sedang ditangani?

CVE-2024-5321

Sedang

GKE on AWS

Deskripsi Keparahan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

GKE di cluster AWS tidak mendukung node Windows dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GKE on Azure

Deskripsi Keparahan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

GKE di cluster Azure tidak mendukung node Windows dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GDC (bare metal)

Deskripsi Keparahan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows tempat BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

Software GDC untuk cluster bare metal tidak mendukung node Windows dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GCP-2024-050

Dipublikasikan: 04-09-2024
Referensi: CVE-2024-38063

GKE

Deskripsi Keparahan

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GKE tidak mendukung IPv6 di Windows dan tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GDC (VMware)

Deskripsi Keparahan

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

Software GDC untuk VMware tidak mendukung IPv6 di Windows dan tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on AWS

Deskripsi Keparahan

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Azure

Deskripsi Keparahan

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GKE on Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GDC (bare metal)

Deskripsi Keparahan

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GDC (bare metal) tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2024-049

Dipublikasikan: 21-08-2024
Diperbarui: 01-11-2024
Referensi: CVE-2024-36978

Update 01-11-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36978

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 01-11-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Diperbarui: 21-10-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36978

Apa yang harus saya lakukan?

Update 21-10-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.28.1100-gke.91
  • 1.30.200-gke.101
  • 1.29.600-gke.109

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36978

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36978

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36978

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-048

Dipublikasikan: 20-08-2024
Diperbarui: 30-10-2024
Referensi: CVE-2024-41009

Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 25-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-41009

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.16-gke.1008000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1008000
  • 1.30.3-gke.1225000
  • 1.31.0-gke.1058000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Diperbarui: 25-10-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-41009

Apa yang harus saya lakukan?

Update 25-10-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.29.700-gke.110
  • 1.28.1100-gke.91
  • 1.30.200-gke.101

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-41009

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-41009

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-41009

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-047

Dipublikasikan: 19-08-2024
Diperbarui: 30-10-2024
Referensi: CVE-2024-39503

Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-39503

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.15-gke.1125000
  • 1.28.11-gke.1170000
  • 1.29.6-gke.1137000
  • 1.30.3-gke.1225000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Diperbarui: 21-10-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-39503

Apa yang harus saya lakukan?

Update 21-10-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.30.200-gke.101
  • 1.29.600-gke.109
  • 1.28.1100-gke.91

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-39503

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-39503

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-39503

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-045

Dipublikasikan: 17-07-2024
Diperbarui: 19-09-2024
Referensi: CVE-2024-26925

Pembaruan 19-09-2024: Menambahkan versi patch untuk GDC (VMware).

Update 21-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

GKE

Diperbarui: 21-08-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-08-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Diperbarui: 19-09-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Apa yang harus saya lakukan?

Update 19-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.29.400
  • 1.28.900

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26925

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-044

Dipublikasikan: 16-07-2024
Diperbarui: 30-10-2024
Referensi: CVE-2024-36972

Update 30-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Update 21-10-2024: Menambahkan versi patch dan memperbarui Tingkat Keparahan untuk GDC (VMware).

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.16-gke.1576000
  • 1.28.14-gke.1175000
  • 1.29.9-gke.1341000
  • 1.30.5-gke.1355000
  • 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.14-gke.1093000
  • 1.28.10-gke.1141000
  • 1.29.5-gke.1192000
  • 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Diperbarui: 21-10-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Apa yang harus saya lakukan?

Update 21-10-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.30.200-gke.101
  • 1.29.600-gke.109
  • 1.28.1100-gke.91

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-36972

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-043

Dipublikasikan: 16-07-2024
Diperbarui: 02-10-2024
Referensi: CVE-2024-26921

Update 02-10-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Pembaruan 20-09-2024: Menambahkan versi patch untuk GDC (VMware).

GKE

Diperbarui: 02-10-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 02-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.16-gke.1287000
  • 1.28.13-gke.1042000
  • 1.29.8-gke.1096000
  • 1.30.4-gke.1476000
  • 1.30.4-gke.1476000
  • 1.31.0-gke.1577000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Diperbarui: 20-09-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Apa yang harus saya lakukan?

Update 20-09-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.30.200
  • 1.29.500
  • 1.28.1000

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-042

Dipublikasikan: 15-07-2024
Diperbarui: 18-07-2024
Referensi: CVE-2024-26809

Pembaruan 18-07-2024: Memperjelas bahwa cluster Autopilot dalam konfigurasi default tidak terpengaruh.

GKE

Diperbarui: 18-07-2024

Deskripsi Keparahan

Pembaruan 18-07-2024: Versi asli buletin ini salah menyatakan bahwa cluster Autopilot terpengaruh. Cluster Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil Unconfined seccomp atau mengizinkan kemampuan CAP_NET_ADMIN.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26809

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-041

Dipublikasikan: 08-07-2024
Diperbarui: 16-09-2024
Referensi: CVE-2023-52654, CVE-2023-52656

Pembaruan 16-09-2024: Menambahkan versi patch untuk GDC (VMware).

Update 19-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

GKE

Diperbarui: 19-07-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 19-07-2024: Versi GKE berikut berisi kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1166000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Diperbarui: 16-09-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Apa yang harus saya lakukan?

Update 16-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.29.200
  • 1.28.700
  • 1.16.11

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52654
  • CVE-2023-52656

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-040

Dipublikasikan: 01-07-2024
Diperbarui: 11-07-2024
Referensi: CVE-2024-6387

Update 11-07-2024: Menambahkan versi patch untuk software GDC untuk VMware, GKE di AWS, dan GKE di Azure.

Pembaruan 03-07-2024: Menambahkan versi patch untuk GKE

Pembaruan 02-07-2024:

  • Memperjelas bahwa cluster Autopilot terpengaruh dan akan memerlukan tindakan pengguna.
  • Menambahkan penilaian dampak dan langkah mitigasi untuk GDC (VMware), GKE di AWS, dan GKE di Azure.
  • Memperbaiki buletin keamanan GDC (bare metal) untuk mengklarifikasi bahwa GDC (bare metal) tidak terpengaruh secara langsung dan bahwa pelanggan harus memeriksa patch dengan vendor OS.

GKE

Diperbarui: 03-07-2024

Deskripsi Keparahan

Pembaruan 03-07-2024: Peluncuran yang dipercepat sedang berlangsung dan diharapkan akan menyediakan versi patch baru di semua zona paling lambat 3 Juli 2024 pukul 17.00 Waktu Pasifik AS dan Kanada (UTC-7). Untuk mendapatkan notifikasi segera setelah patch tersedia untuk cluster tertentu, gunakan notifikasi cluster.


Pembaruan 02-07-2024: Kerentanan ini memengaruhi cluster mode Autopilot dan mode Standar. Setiap bagian yang akan dijelaskan berikut ini akan memberi tahu Anda mode yang diterapkan oleh bagian tersebut.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Semua versi Container Optimized OS dan image Ubuntu yang didukung di GKE menjalankan versi OpenSSH yang rentan terhadap masalah ini.

Cluster GKE dengan alamat IP node publik dan SSH yang terekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi.

Bidang kontrol GKE tidak rentan terhadap masalah ini.

Apa yang harus saya lakukan?

Pembaruan 03-07-2024: Versi patch untuk GKE

Peluncuran yang dipercepat sedang berlangsung dan diharapkan akan menyediakan versi patch baru di semua zona paling lambat 3 Juli 2024 pukul 17.00 Waktu Pasifik AS dan Kanada (UTC-7).

Cluster dan node dengan upgrade otomatis yang diaktifkan akan mulai diupgrade seiring berjalannya minggu, tetapi karena keparahan kerentanan, sebaiknya upgrade secara manual sebagai berikut untuk mendapatkan patch secepat mungkin.

Untuk cluster Autopilot dan Standard, upgrade panel kontrol Anda ke versi yang di-patch. Selain itu, untuk cluster mode Standar, upgrade node pool Anda ke versi yang di-patch. Cluster Autopilot akan mulai mengupgrade node Anda agar sesuai dengan versi control plane sesegera mungkin.

Versi GKE yang di-patch tersedia untuk setiap versi yang didukung guna meminimalkan perubahan yang diperlukan untuk menerapkan patch. Nomor versi setiap versi baru adalah penambahan pada digit terakhir dalam nomor versi versi yang ada yang sesuai. Misalnya, jika Anda menggunakan 1.27.14-gke.1100000, Anda akan mengupgrade ke 1.27.14-gke.1100002 untuk mendapatkan perbaikan dengan perubahan sekecil mungkin. Versi GKE yang di-patch berikut tersedia:

  • 1.26.15-gke.1090004
  • 1.26.15-gke.1191001
  • 1.26.15-gke.1300001
  • 1.26.15-gke.1320002
  • 1.26.15-gke.1381001
  • 1.26.15-gke.1390001
  • 1.26.15-gke.1404002
  • 1.26.15-gke.1469001
  • 1.27.13-gke.1070002
  • 1.27.13-gke.1166001
  • 1.27.13-gke.1201002
  • 1.27.14-gke.1022001
  • 1.27.14-gke.1042001
  • 1.27.14-gke.1059002
  • 1.27.14-gke.1100002
  • 1.27.15-gke.1012003
  • 1.28.9-gke.1069002
  • 1.28.9-gke.1209001
  • 1.28.9-gke.1289002
  • 1.28.10-gke.1058001
  • 1.28.10-gke.1075001
  • 1.28.10-gke.1089002
  • 1.28.10-gke.1148001
  • 1.28.11-gke.1019001
  • 1.29.4-gke.1043004
  • 1.29.5-gke.1060001
  • 1.29.5-gke.1091002
  • 1.29.6-gke.1038001
  • 1.30.1-gke.1329003
  • 1.30.2-gke.1023004

Untuk memeriksa apakah patch tersedia di zona atau region cluster Anda, jalankan perintah berikut:

gcloud container get-server-config --location=LOCATION

Ganti LOCATION dengan zona atau region Anda.


Pembaruan 02-07-2024: Cluster mode Autopilot dan mode Standard harus diupgrade sesegera mungkin setelah versi patch tersedia.


Versi GKE yang di-patch yang menyertakan OpenSSH yang diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk saluran Anda, aktifkan notifikasi cluster. Sebaiknya lakukan langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan, sesuai kebutuhan.

Menentukan apakah node Anda memiliki alamat IP publik

Pembaruan 02-07-2024: Bagian ini berlaku untuk cluster Autopilot dan Standard.


Jika cluster dibuat dengan enable-private-nodes, node akan bersifat pribadi, yang mengurangi kerentanan dengan menghapus eksposur ke Internet. Jalankan perintah berikut untuk menentukan apakah cluster Anda mengaktifkan node pribadi:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Jika nilai yang ditampilkan adalah True, semua node adalah node pribadi untuk cluster ini dan kerentanan dimitigasi. Jika nilainya kosong atau salah, lanjutkan untuk menerapkan salah satu mitigasi di bagian berikut.

Untuk menemukan semua cluster yang awalnya dibuat dengan node publik, gunakan kueri Inventaris Aset Cloud ini di project atau organisasi:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Tidak mengizinkan SSH ke node cluster

Pembaruan 02-07-2024: Bagian ini berlaku untuk cluster Autopilot dan Standard.


Jaringan default diisi otomatis dengan aturan firewall default-allow-ssh untuk mengizinkan akses SSH dari Internet publik. Untuk menghapus akses ini, Anda dapat:

  • Secara opsional, buat aturan untuk mengizinkan akses SSH yang Anda perlukan dari jaringan tepercaya ke node GKE atau VM Compute Engine lainnya dalam project.
  • Nonaktifkan aturan firewall default dengan perintah berikut:
    gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Jika Anda telah membuat aturan firewall lain yang mungkin mengizinkan SSH melalui TCP di port 22, nonaktifkan aturan tersebut, atau batasi IP sumber ke jaringan tepercaya.

Pastikan Anda tidak dapat lagi mengakses SSH ke node cluster dari Internet. Konfigurasi firewall ini mengurangi kerentanan.

Mengonversi node pool publik menjadi pribadi

Pembaruan 02-07-2024: Untuk cluster Autopilot yang awalnya dibuat sebagai cluster publik, Anda dapat menempatkan workload di node pribadi dengan menggunakan nodeSelectors. Namun, node Autopilot yang menjalankan beban kerja sistem di cluster yang awalnya dibuat sebagai cluster publik akan tetap menjadi node publik dan harus dilindungi menggunakan perubahan firewall yang dijelaskan di bagian sebelumnya.


Untuk melindungi cluster yang awalnya dibuat dengan node publik dengan sebaik mungkin, sebaiknya jangan izinkan SSH melalui firewall seperti yang telah dijelaskan. Jika tidak dapat melarang SSH melalui aturan firewall, Anda dapat mengonversi node pool publik di cluster GKE Standard menjadi pribadi dengan mengikuti panduan ini untuk mengisolasi node pool.

Mengubah konfigurasi SSHD

Pembaruan 02-07-2024: Bagian ini hanya berlaku untuk cluster Standar. Workload Autopilot tidak diizinkan untuk mengubah konfigurasi node.


Jika tidak ada mitigasi yang dapat diterapkan, kami juga telah memublikasikan daemonset yang menetapkan LoginGraceTime SSHD ke nol, dan memulai ulang daemon SSH. Daemonset ini dapat diterapkan ke cluster untuk memitigasi serangan. Perhatikan bahwa konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah dengan akses SSH yang sah. Daemonset ini harus dihapus setelah patch diterapkan.

Kritis

GDC (VMware)

Diperbarui: 11-07-2024

Deskripsi Keparahan

Update 11-07-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade workstation admin, cluster admin, dan cluster pengguna (termasuk node pool) ke salah satu versi berikut atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade cluster atau node pool.

  • 1.16.10-gke.36
  • 1.28.700-gke.151
  • 1.29.200-gke.245

Update pada 02-07-2024 untuk buletin ini salah menyatakan bahwa semua versi image Ubuntu yang didukung di software GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini. Image Ubuntu pada software GDC untuk cluster VMware versi 1.16 menjalankan versi OpenSSH yang tidak rentan terhadap masalah ini. Image Ubuntu di software GDC untuk VMware 1.28 dan 1.29 rentan. Image Container-Optimized OS di semua versi software GDC yang didukung untuk VMware rentan terhadap masalah ini.


Pembaruan 02-07-2024: Semua versi Container-Optimized OS dan image Ubuntu yang didukung di software GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini.

Software GDC untuk cluster VMware dengan alamat IP node publik dan SSH yang terekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: Software GDC yang di-patch untuk versi VMware yang menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya terapkan mitigasi berikut sesuai kebutuhan.

Tidak mengizinkan SSH ke node cluster

Anda dapat mengubah penyiapan jaringan infrastruktur untuk melarang konektivitas SSH dari sumber yang tidak tepercaya, seperti Internet publik.

Mengubah konfigurasi sshd

Jika Anda tidak dapat menerapkan mitigasi sebelumnya, kami telah memublikasikan DaemonSet yang menetapkan LoginGraceTime sshd ke nol dan memulai ulang daemon SSH. DaemonSet ini dapat diterapkan ke cluster untuk memitigasi serangan. Perhatikan bahwa konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah dengan akses SSH yang sah. Hapus DaemonSet ini setelah patch diterapkan.


Kritis

GKE on AWS

Diperbarui: 11-07-2024

Deskripsi Keparahan

Update 11-07-2024: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Upgrade bidang kontrol dan node pool GKE Anda di AWS ke salah satu versi yang di-patch ini atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster AWS dan Memperbarui node pool.


Pembaruan 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di AWS menjalankan versi OpenSSH yang rentan terhadap masalah ini.

GKE di cluster AWS dengan alamat IP node publik dan SSH yang diekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

Pembaruan 02-07-2024: Versi GKE on AWS yang di-patch dan menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya ikuti langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan terapkan mitigasi yang dijelaskan sesuai kebutuhan.

Menentukan apakah node Anda memiliki alamat IP publik

GKE di AWS tidak menyediakan mesin apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan traffic ke port 22 secara default. Namun, bergantung pada konfigurasi subnet, mesin dapat otomatis mendapatkan alamat IP publik selama penyediaan.

Untuk memeriksa apakah node disediakan dengan alamat IP publik, lihat konfigurasi subnet yang terkait dengan resource kumpulan node AWS Anda.

Tidak mengizinkan SSH ke node cluster

Meskipun GKE di AWS tidak mengizinkan traffic di port 22 di node mana pun secara default, pelanggan dapat melampirkan grup keamanan tambahan ke node pool, sehingga mengaktifkan traffic SSH masuk.

Sebaiknya Anda menghapus atau mempersempit cakupan aturan yang sesuai dari grup keamanan yang disediakan.

Mengonversi node pool publik menjadi pribadi

Untuk melindungi cluster dengan node publik dengan sebaik mungkin, sebaiknya larang SSH terlebih dahulu melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika tidak dapat melarang SSH melalui aturan grup keamanan, Anda dapat mengonversi node pool publik menjadi pribadi dengan menonaktifkan opsi untuk menetapkan IP publik secara otomatis ke mesin dalam subnet dan menyediakan ulang node pool.


Kritis

GKE on Azure

Diperbarui: 11-07-2024

Deskripsi Keparahan

Update 11-07-2024: Versi GKE on Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

  • 1.27.14-gke.1200
  • 1.28.10-gke.1300
  • 1.29.5-gke.1100

Upgrade node pool dan panel kontrol GKE Anda di Azure ke salah satu versi yang di-patch ini atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster Azure dan Memperbarui node pool.


Pembaruan 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di Azure menjalankan versi OpenSSH yang rentan terhadap masalah ini.

GKE di cluster Azure dengan alamat IP node publik dan SSH yang diekspos ke Internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

Pembaruan 02-07-2024: Versi GKE di Azure yang di-patch dan menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya ikuti langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan terapkan mitigasi yang dijelaskan sesuai kebutuhan.

Menentukan apakah node Anda memiliki alamat IP publik

GKE di Azure tidak menyediakan mesin apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan traffic ke port 22 secara default. Untuk meninjau konfigurasi Azure guna memeriksa apakah ada alamat IP publik yang dikonfigurasi di cluster GKE di Azure, jalankan perintah berikut:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv
Tidak mengizinkan SSH ke node cluster

Meskipun GKE di Azure tidak mengizinkan traffic di port 22 di node mana pun secara default, pelanggan dapat memperbarui aturan NetworkSecurityGroup ke node pool, sehingga mengaktifkan traffic SSH inbound dari internet publik.

Sebaiknya tinjau Network Security Group (NSG) yang terkait dengan cluster Kubernetes Anda. Jika ada aturan NSG yang mengizinkan traffic masuk tanpa batasan di port 22 (SSH), lakukan salah satu tindakan berikut:

  • Hapus aturan sepenuhnya: Jika akses SSH ke node cluster tidak diperlukan dari internet, hapus aturan untuk menghilangkan potensi vektor serangan.
  • Membatasi cakupan aturan: Batasi akses masuk di port 22 hanya ke alamat IP atau rentang tertentu yang memerlukannya. Hal ini meminimalkan permukaan yang terekspos untuk potensi serangan.
Mengonversi node pool publik menjadi pribadi

Untuk melindungi cluster dengan node publik dengan sebaik mungkin, sebaiknya larang SSH terlebih dahulu melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika tidak dapat melarang SSH melalui aturan grup keamanan, Anda dapat mengonversi node pool publik menjadi pribadi dengan menghapus alamat IP publik yang terkait dengan VM.

Untuk menghapus alamat IP publik dari VM dan menggantinya dengan konfigurasi alamat IP pribadi, lihat Memutuskan tautan alamat IP publik dari VM Azure.

Dampak: Setiap koneksi yang ada yang menggunakan alamat IP publik akan terganggu. Pastikan Anda memiliki metode akses alternatif, seperti VPN atau Azure Bastion.


Kritis

GDC (bare metal)

Diperbarui: 02-07-2024

Deskripsi Keparahan

Pembaruan 02-07-2024: Versi asli buletin ini untuk software GDC untuk bare metal secara keliru menyatakan bahwa versi patch sedang dalam proses. Software GDC untuk bare metal tidak terpengaruh secara langsung karena tidak mengelola konfigurasi atau daemon SSH sistem operasi. Oleh karena itu, versi patch adalah tanggung jawab penyedia sistem operasi, seperti yang dijelaskan di bagian Apa yang harus saya lakukan?.


Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

Pembaruan 02-07-2024: Hubungi penyedia OS Anda untuk mendapatkan patch untuk sistem operasi yang digunakan dengan software GDC untuk bare metal.

Sebelum Anda menerapkan patch vendor OS, pastikan komputer yang dapat dijangkau publik tidak mengizinkan koneksi SSH dari internet. Jika tidak memungkinkan, alternatifnya adalah menetapkan LoginGraceTime ke nol dan memulai ulang server sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Perhatikan bahwa perubahan konfigurasi ini dapat meningkatkan risiko serangan denial of service dan dapat menyebabkan masalah pada akses SSH yang sah.


Teks asli 01-07-2024 (lihat pembaruan 02-07-2024 sebelumnya untuk koreksi):

Kritis

GCP-2024-039

Dipublikasikan: 28-06-2024
Diperbarui: 25-09-2024
Referensi: CVE-2024-26923

Pembaruan 25-09-2024: Menambahkan versi patch untuk GDC (VMware).

Update 20-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

GKE

Diperbarui: 20-08-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 20-08-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Diperbarui: 25-09-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Apa yang harus saya lakukan?

Update 25-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.29.400
  • 1.28.900

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26923

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-038

Dipublikasikan: 26-06-2024
Diperbarui: 17-09-2024
Referensi: CVE-2024-26924

Pembaruan 17-09-2024: Menambahkan versi patch untuk GDC (VMware).

Update 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

GKE

Diperbarui: 06-08-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.15-gke.1252000
  • 1.28.11-gke.1260000
  • 1.29.6-gke.1326000
  • 1.30.2-gke.1394003

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1360000
  • 1.27.14-gke.1022000
  • 1.28.9-gke.1289000
  • 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GDC (VMware)

Diperbarui: 17-09-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Apa yang harus saya lakukan?

Update 17-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.29.400
  • 1.28.800
  • 1.16.11

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Apa yang harus saya lakukan?

Tertunda

GDC (bare metal)

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26924

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-036

Dipublikasikan: 18-06-2024
Referensi: CVE-2024-26584

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-035

Dipublikasikan: 12-06-2024
Diperbarui: 18-07-2024
Referensi: CVE-2024-26584

Pembaruan 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE dan menambahkan versi patch untuk versi 1.27 di node pool Container-Optimized OS.

GKE

Diperbarui: 18-07-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 18-07-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgrade node pool Container-Optimized OS Anda ke versi patch berikut atau yang lebih baru:

  • 1.27.15-gke.1125000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000

Versi minor berikut terpengaruh, tetapi tidak memiliki versi patch yang tersedia. Kami akan memperbarui buletin ini saat versi patch tersedia:

  • 1,26
  • 1.27

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-034

Dipublikasikan: 11-06-2024
Diperbarui: 10-07-2024
Referensi: CVE-2024-26583

Update 10-07-2024: Menambahkan versi patch untuk node Container-Optimized OS yang menjalankan versi minor 1.26 dan 1.27 serta menambahkan versi patch untuk node Ubuntu.

GKE

Diperbarui: 10-07-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26583

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 10-07-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1444000
  • 1.27.14-gke.1096000
  • 1.28.10-gke.1148000
  • 1.29.5-gke.1041001
  • 1.30.1-gke.1156001

Untuk versi minor 1.26 dan 1.27, upgrade node pool Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1404002
  • 1.27.14-gke.1059002

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26583

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26583

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26583

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2024-26583

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-033

Dipublikasikan: 10-06-2024
Diperbarui: 26-09-2024
Referensi: CVE-2022-23222

Pembaruan 26-09-2024: Menambahkan versi patch untuk GDC (VMware).

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2022-23222

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1381000
  • 1.27.14-gke.1022000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Diperbarui: 26-09-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2022-23222

Apa yang harus saya lakukan?

Update 26-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.28.900-gke.113
  • 1.29.400-gke.8

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2022-23222

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2022-23222

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

  • CVE-2022-23222

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-031

Dipublikasikan: 24-05-2024
Referensi: CVE-2024-4323

GKE

Deskripsi Keparahan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di VMware tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di VMware tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di AWS tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE on AWS tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Azure

Deskripsi Keparahan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di Azure tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE on Azure tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di Bare Metal tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di Bare Metal tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2024-030

Dipublikasikan: 15-05-2024
Diperbarui: 18-07-2024
Referensi: CVE-2023-52620

Update 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

GKE

Diperbarui: 18-07-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 18-07-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-52620

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-029

Dipublikasikan: 14-05-2024
Diperbarui: 19-08-2024
Referensi: CVE-2024-26642

Pembaruan 19-08-2024: Menambahkan versi patch untuk node Ubuntu.

GKE

Diperbarui: 19-08-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 19-08-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.16-gke.1051000
  • 1.28.12-gke.1052000
  • 1.29.7-gke.1174000
  • 1.30.3-gke.1225000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.13-gke.1166000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26642

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-028

Dipublikasikan: 13-05-2024
Diperbarui: 22-05-2024
Referensi: CVE-2024-26581

Pembaruan 22-05-2024: Menambahkan versi patch untuk node Ubuntu.

GKE

Diperbarui: 22-05-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 22-05-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.26.15-gke.1300000
  • 1.27.13-gke.1011000
  • 1.28.9-gke.1209000
  • 1.29.4-gke.1542000
  • 1.30.0-gke.1712000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1596000
  • 1.26.14-gke.1076000
  • 1.27.11-gke.1202000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1300000
  • 1.28.9-gke.1209000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26581

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-027

Dipublikasikan: 08-05-2024
Diperbarui: 25-09-2024
Referensi: CVE-2024-26808

Pembaruan 25-09-2024: Menambahkan versi patch untuk GDC (VMware).

Update 15-05-2024: Menambahkan versi patch untuk node pool GKE Ubuntu.

Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi dan menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

GKE

Diperbarui: 09-05-2024, 15-05-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi. Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini salah. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.


Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 15-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.26.15-gke.1323000
  • 1.27.13-gke.1206000
  • 1.28.10-gke.1000000
  • 1.29.3-gke.1282004
  • 1.30.0-gke.1584000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Diperbarui: 25-09-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Apa yang harus saya lakukan?

Update 25-09-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

  • 1.28.600
  • 1.16.9

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26808

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-026

Dipublikasikan: 07-05-2024
Diperbarui: 06-08-2024
Referensi: CVE-2024-26643

Update 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi.

GKE

Diperbarui: 06-08-2024

Deskripsi Keparahan

Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

  • 1.27.15-gke.1252000
  • 1.28.11-gke.1260000
  • 1.29.6-gke.1326000
  • 1.30.2-gke.1394003

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.8-gke.1067000
  • 1.28.8-gke.1095000
  • 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26643

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-024

Dipublikasikan: 25-04-2024
Diperbarui: 18-07-2024
Referensi: CVE-2024-26585

Update 18-07-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

GKE

Diperbarui: 18-07-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 18-07-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.26.15-gke.1469000
  • 1.27.14-gke.1100000
  • 1.28.10-gke.1148000
  • 1.29.6-gke.1038000
  • 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-26585

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-022

Dipublikasikan: 03-04-2024
Diperbarui: 17-07-2024
Referensi: CVE-2023-45288

Pembaruan 17-07-2024: Menambahkan versi patch untuk GKE di VMware.
Pembaruan 09-07-2024: Menambahkan versi patch untuk GKE di Bare Metal.
Update 24-04-2024: Menambahkan versi patch untuk GKE.

GKE

Diperbarui: 24-04-2024

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh.

Cluster GKE Autopilot dan Standard terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 24-04-2024: Menambahkan versi patch untuk GKE.

Versi GKE berikut menyertakan patch keamanan Golang untuk memperbaiki kerentanan ini. Upgrade cluster GKE Anda ke versi berikut atau yang lebih baru:

  • 1.25.16-gke.1759000
  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1282000

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan.

Mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:

Anda dapat mengurangi risiko cluster dari jenis serangan ini dengan mengonfigurasi jaringan yang diizinkan. Ikuti petunjuk untuk mengaktifkan jaringan yang diizinkan untuk cluster yang ada.

Untuk mempelajari lebih lanjut cara jaringan yang diizinkan mengontrol akses ke panel kontrol, lihat Cara kerja jaringan yang diizinkan. Untuk melihat akses jaringan yang diizinkan secara default, lihat tabel di bagian Akses ke endpoint panel kontrol.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Tinggi

GKE on VMware

Diperbarui: 17-07-2024

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Pembaruan 17-07-2024: Menambahkan versi patch untuk GKE di VMware.

Versi GKE berikut di VMware menyertakan kode untuk memperbaiki kerentanan ini. Upgrade GKE Anda di cluster VMware ke versi berikut atau yang lebih baru:

  • 1.29.0
  • 1.28.500
  • 1.16.8

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat GKE di versi VMware yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di AWS yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Tinggi

GKE on Azure

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di Azure yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Tinggi

GKE on Bare Metal

Diperbarui: 09-07-2024

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Pembaruan 09-07-2024: Menambahkan versi patch untuk GKE on Bare Metal.

Versi GKE berikut di Bare Metal menyertakan kode untuk memperbaiki kerentanan ini. Upgrade cluster GKE on Bare Metal Anda ke versi berikut atau yang lebih baru:

  • 1.29.100
  • 1.28.600
  • 1.16.9

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di Bare Metal yang menyertakan patch ini tersedia. Untuk meminta patch dengan jadwal yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Tinggi

GCP-2024-018

Dipublikasikan: 12-03-2024
Diperbarui: 06-05-2024
Referensi: CVE-2024-1085

Pembaruan 06-05-2024: Menambahkan versi patch untuk node pool GKE Ubuntu dan menghapus elemen garis horizontal tambahan dari update 04-04-2024.

Pembaruan 04-04-2024: Memperbaiki versi minimum untuk node pool GKE Container-Optimized OS.

GKE

Diperbarui: 06-05-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 06-05-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru.

  • 1.26.15-gke.1158000
  • 1.27.12-gke.1190000
  • 1.28.8-gke.1175000
  • 1.29.3-gke.1093000

Pembaruan 04-04-2024: Memperbaiki versi minimum untuk node pool Container-Optimized OS GKE.

Versi GKE minimum yang berisi perbaikan Container-Optimized OS yang tercantum sebelumnya salah. Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgrade node pool Container-Optimized OS Anda ke versi berikut atau yang lebih baru:

  • 1.25.16-gke.1520000
  • 1.26.13-gke.1221000
  • 1.27.10-gke.1243000
  • 1.28.8-gke.1083000
  • 1.29.3-gke.1054000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1518000
  • 1.26.13-gke.1219000
  • 1.27.10-gke.1240000
  • 1.28.6-gke.1433000
  • 1.29.1-gke.1716000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-1085

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-017

Dipublikasikan: 06-03-2024
Referensi: CVE-2023-3611

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3611

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-014

Dipublikasikan: 2024-02-26
Referensi: CVE-2023-3776

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3776

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-013

Dipublikasikan: 23-02-2024
Referensi: CVE-2023-3610

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-3610

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-012

Dipublikasikan: 20-02-2024
Referensi: CVE-2024-0193

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.10-gke.1149000
  • 1.28.6-gke.1274000
  • 1.29.1-gke.1388000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1392000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2024-0193

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-011

Dipublikasikan: 2024-02-15
Referensi: CVE-2023-6932

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

  • CVE-2023-6932

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-010

Dipublikasikan: 14-02-2024
Diperbarui: 17-04-2024
Referensi: CVE-2023-6931

Pembaruan 17-04-2024: Menambahkan versi patch untuk GKE di VMware.

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2364001
  • 1.25.16-gke.1229000
  • 1.26.6-gke.1017002
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1412001
  • 1.26.6-gke.1017002
  • 1.27.10-gke.1055001
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Diperbarui: 17-04-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Pembaruan 17-04-2024: Menambahkan versi patch untuk GKE di VMware.


Versi GKE berikut di VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

  • 1.28.200
  • 1.16.6
  • 1.15.10


Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6931

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-008

Dipublikasikan: 2024-02-12
Referensi: CVE-2023-5528

GKE

Deskripsi Keparahan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Cluster GKE Standard yang menjalankan node Windows Server dan menggunakan plugin penyimpanan dalam hierarki mungkin terpengaruh.

Cluster GKE Autopilot dan node pool GKE yang menggunakan GKE Sandbox tidak terpengaruh karena tidak mendukung node Windows Server.

Apa yang harus saya lakukan?

Tentukan apakah Anda memiliki node Windows Server yang digunakan di cluster:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk menemukan bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat eksploitasi.

Update cluster dan node pool GKE Anda ke versi yang di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade secara manual cluster dan node pool Windows Server ke salah satu versi GKE berikut atau yang lebih baru:

  • 1.24.17-gke.6100
  • 1.25.15-gke.2000
  • 1.26.10-gke.2000
  • 1.27.7-gke.2000
  • 1.28.3-gke.1600

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Tinggi

GKE on VMware

Deskripsi Keparahan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

GKE di cluster VMware yang menjalankan node Windows Server dan menggunakan plugin penyimpanan dalam hierarki mungkin akan terpengaruh.

Apa yang harus saya lakukan?

Tentukan apakah Anda memiliki node Windows Server yang digunakan di cluster:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk menemukan bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat eksploitasi.

Update GKE Anda di cluster dan node pool VMware ke versi yang di-patch. Versi GKE berikut di VMware telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool Windows Server Anda ke salah satu versi GKE di VMware berikut atau yang lebih baru:

  • 1.28.100-gke.131
  • 1.16.5-gke.28
  • 1.15.8-gke.41

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Tinggi

GKE on AWS

Deskripsi Keparahan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Cluster GKE di AWS tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GKE on Azure

Deskripsi Keparahan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Cluster GKE on Azure tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Cluster GKE on Bare Metal tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Tidak ada

GCP-2024-005

Dipublikasikan: 31-01-2024
Diperbarui: 06-05-2024
Referensi: CVE-2024-21626

Update 06-05-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure.
Update 02-04-2024: Menambahkan versi patch untuk GKE di Bare Metal
Update 06-03-2024: Menambahkan versi patch untuk GKE di VMware
Update 28-02-2024: Menambahkan versi patch untuk Ubuntu
Update 15-02-2024: Mengklarifikasi bahwa versi patch Ubuntu 1.25 dan 1.26 dalam update 14-02-2024 dapat menyebabkan node tidak sehat.
Update 14-02-2024: Menambahkan versi patch untuk Ubuntu
Update 06-02-2024: Menambahkan versi patch untuk Container-Optimized OS.

GKE

Diperbarui: 06-03-2024

Deskripsi Keparahan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod di node Container-Optimized OS dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Update 28-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1537000
  • 1.26.14-gke.1006000

Update 15-02-2024: Karena masalah, versi patch Ubuntu berikut dari update 14-02-2024 dapat menyebabkan node Anda memasuki status tidak sehat. Jangan mengupgrade ke versi patch berikut. Kami akan memperbarui buletin ini saat versi patch yang lebih baru untuk Ubuntu tersedia untuk 1.25 dan 1.26.

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000

Jika Anda sudah mengupgrade ke salah satu versi patch ini, downgrade node pool secara manual ke versi sebelumnya di saluran rilis Anda.


Update 14-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1497000
  • 1.26.13-gke.1189000
  • 1.27.10-gke.1207000
  • 1.28.6-gke.1369000
  • 1.29.1-gke.1575000

Update 06-02-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool Container-Optimized OS Anda ke salah satu versi GKE berikut atau yang lebih baru:

  • 1.25.16-gke.1460000
  • 1.26.13-gke.1144000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1289000
  • 1.29.1-gke.1425000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.


Kami memperbarui GKE dengan kode untuk memperbaiki kerentanan ini. Kami akan memperbarui buletin ini saat versi patch tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk membuat dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch yang dirilis dalam buletin keamanan ini, beberapa deskripsi file tanpa sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir penampung berada di dalam namespace mount penampung. Image container berbahaya atau pengguna dengan izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskripsi file yang bocor dan kurangnya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host dan menimpa biner arbitrer di node.

Tinggi

GKE on VMware

Diperbarui: 06-03-2024

Deskripsi Keparahan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod di node Container-Optimized OS dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 06-03-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

  • 1.28.200
  • 1.16.6
  • 1.15.9

Versi patch dan penilaian tingkat keparahan untuk GKE di VMware sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk membuat dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch dirilis dalam buletin keamanan ini, beberapa deskripsi file tanpa sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir penampung berada di dalam namespace mount penampung. Image container berbahaya atau pengguna dengan izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskripsi file yang bocor dan kurangnya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host serta menimpa biner arbitrer di node.

Tinggi

GKE on AWS

Diperbarui: 06-05-2024

Deskripsi Keparahan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod di node Container-Optimized OS dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE di AWS berikut telah diupdate dengan patch untuk CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Versi patch dan penilaian tingkat keparahan untuk GKE di AWS sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk membuat dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch dirilis dalam buletin keamanan ini, beberapa deskripsi file tanpa sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir penampung berada di dalam namespace mount penampung. Image container berbahaya atau pengguna dengan izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskripsi file yang bocor dan kurangnya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host serta menimpa biner arbitrer di node.

Tinggi

GKE on Azure

Diperbarui: 06-05-2024

Deskripsi Keparahan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod di node Container-Optimized OS dan Ubuntu mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 06-05-2024: Versi GKE di Azure berikut telah diupdate dengan patch untuk CVE-2024-21626:

  • 1.28.5-gke.1200
  • 1.27.10-gke.500
  • 1.26.13-gke.400

Versi patch dan penilaian tingkat keparahan untuk GKE di Azure sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk membuat dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch dirilis dalam buletin keamanan ini, beberapa deskripsi file tanpa sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir penampung berada di dalam namespace mount penampung. Image container berbahaya atau pengguna dengan izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskripsi file yang bocor dan kurangnya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host serta menimpa biner arbitrer di node.

Tinggi

GKE on Bare Metal

Diperbarui: 02-04-2024

Deskripsi Keparahan

Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc tempat pengguna dengan izin untuk membuat Pod mungkin dapat memperoleh akses penuh ke sistem file node.

Apa yang harus saya lakukan?

Update 02-04-2024: Versi GKE on Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

  • 1.28.200-gke.118
  • 1.16.6
  • 1.15.10

Versi patch dan penilaian tingkat keparahan untuk GKE di Bare Metal sedang dalam proses. Kami akan memperbarui buletin ini dengan informasi tersebut jika sudah tersedia.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

runc adalah alat tingkat rendah untuk membuat dan menjalankan container Linux yang digunakan di Pod Kubernetes. Pada versi runc sebelum patch dirilis dalam buletin keamanan ini, beberapa deskripsi file tanpa sengaja bocor ke dalam proses runc init yang berjalan dalam penampung. runc juga tidak memverifikasi bahwa direktori kerja akhir penampung berada di dalam namespace mount penampung. Image container berbahaya atau pengguna dengan izin untuk menjalankan Pod arbitrer dapat menggunakan kombinasi deskripsi file yang bocor dan kurangnya validasi direktori kerja untuk mendapatkan akses ke namespace pemasangan host node dan mengakses seluruh sistem file host serta menimpa biner arbitrer di node.

Tinggi

GCP-2024-004

Dipublikasikan: 24-01-2024
Diperbarui: 07-02-2024
Referensi: CVE-2023-6817

Pembaruan 07-02-2024: Menambahkan versi patch untuk Ubuntu.

GKE

Diperbarui: 07-02-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 07-02-2024: Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1458000
  • 1.26.13-gke.1143000
  • 1.27.10-gke.1152000
  • 1.28.6-gke.1276000
  • 1.29.1-gke.1221000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.16-gke.1229000
  • 1.26.12-gke.1087000
  • 1.27.3-gke.1001003
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-6817

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2024-003

Dipublikasikan: 19-01-2024
Diperbarui: 26-01-2024
Pembaruan 26-01-2024: Menjelaskan jumlah cluster yang terpengaruh dan tindakan yang kami lakukan untuk membantu memitigasi dampaknya.

GKE

Diperbarui: 26-01-2024

Deskripsi Keparahan

Pembaruan 26-01-2024: Riset keamanan yang menemukan sejumlah kecil cluster GKE dengan miskonfigurasi buatan pelanggan yang melibatkan grup system:authenticated kini telah dipublikasikan. Postingan blog peneliti tersebut merujuk pada 1.300 cluster dengan beberapa binding yang salah dikonfigurasi, dan 108 cluster dengan hak istimewa tinggi. Kami telah bekerja sama dengan pelanggan yang terpengaruh untuk memberi tahu mereka dan membantu menghapus binding yang salah dikonfigurasi.


Kami telah mengidentifikasi beberapa cluster tempat pengguna telah memberikan hak istimewa Kubernetes ke grup system:authenticated, yang mencakup semua pengguna dengan Akun Google. Jenis binding ini tidak direkomendasikan, karena melanggar prinsip hak istimewa terendah dan memberikan akses ke grup pengguna yang sangat besar. Lihat panduan di bagian 'Apa yang harus saya lakukan' untuk mengetahui petunjuk cara menemukan jenis binding ini.

Baru-baru ini, seorang peneliti keamanan melaporkan temuan cluster dengan kesalahan konfigurasi RBAC melalui program pelaporan kerentanan kami.

Pendekatan Google terhadap autentikasi adalah membuat autentikasi ke Google Cloud dan GKE semudah dan seaman mungkin tanpa menambahkan langkah konfigurasi yang rumit. Autentikasi hanya memberi tahu kita siapa penggunanya; Otorisasi adalah tempat akses ditentukan. Jadi, grup system:authenticated di GKE yang berisi semua pengguna yang diautentikasi melalui penyedia identitas Google berfungsi seperti yang diharapkan dan berfungsi dengan cara yang sama seperti ID allAuthenticatedUsers IAM.

Dengan mempertimbangkan hal ini, kami telah mengambil beberapa langkah untuk mengurangi risiko pengguna membuat error otorisasi dengan pengguna dan grup bawaan Kubernetes, termasuk system:anonymous, system:authenticated, dan system:unauthenticated. Semua pengguna/grup ini menimbulkan risiko bagi cluster jika diberi izin. Kami membahas beberapa aktivitas penyerang yang menargetkan miskonfigurasi RBAC dan pertahanan yang tersedia di Kubecon pada November 2023.

Untuk melindungi pengguna dari error otorisasi yang tidak disengaja dengan pengguna/grup sistem ini, kami memiliki:

  • Secara default, mengblokir binding baru dari ClusterRole dengan hak istimewa tinggi cluster-admin ke Pengguna system:anonymous, Grup system:authenticated, atau Grup system:unauthenticated di GKE versi 1.28.
  • Membuat aturan deteksi ke dalam Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) sebagai bagian dari Security Command Center.
  • Membuat aturan pencegahan yang dapat dikonfigurasi ke dalam Policy Controller dengan K8sRestrictRoleBindings.
  • Mengirim notifikasi email ke semua pengguna GKE dengan binding ke pengguna/grup ini yang meminta mereka untuk meninjau konfigurasi mereka.
  • Membuat fitur otorisasi jaringan dan membuat rekomendasi untuk membatasi akses jaringan ke cluster sebagai lapisan pertahanan pertama.
  • Meningkatkan kesadaran tentang masalah ini melalui presentasi di Kubecon pada November 2023.

Cluster yang menerapkan batasan jaringan resmi memiliki lapisan pertahanan pertama: cluster tidak dapat diserang secara langsung dari Internet. Namun, sebaiknya hapus binding ini untuk pertahanan dalam dan untuk mencegah error dalam kontrol jaringan.
Perhatikan bahwa ada sejumlah kasus saat binding ke pengguna atau grup sistem Kubernetes digunakan secara sengaja: misalnya, untuk bootstrap kubeadm, dasbor Rancher, dan rahasia tertutup Bitnami. Kami telah mengonfirmasi dengan vendor software tersebut bahwa binding tersebut berfungsi sebagaimana mestinya.

Kami sedang menyelidiki cara untuk lebih melindungi dari kesalahan konfigurasi RBAC pengguna dengan pengguna/grup sistem ini melalui pencegahan dan deteksi.

Apa yang harus saya lakukan?

Untuk mencegah pembuatan ikatan cluster-admin baru ke Pengguna system:anonymous, Grup system:authenticated, atau Grup system:unauthenticated, pengguna dapat mengupgrade ke GKE v1.28 atau yang lebih baru (catatan rilis), tempat pembuatan ikatan tersebut diblokir.

Binding yang ada harus ditinjau dengan mengikuti panduan ini.

Sedang

GKE on VMware

Tidak ada pembaruan saat ini.

GKE on AWS

Tidak ada pembaruan saat ini.

GKE on Azure

Tidak ada pembaruan saat ini.

GKE on Bare Metal

Tidak ada pembaruan saat ini.

GCP-2024-002

Dipublikasikan: 17-01-2024
Diperbarui: 20-02-2024
Referensi: CVE-2023-6111

Pembaruan 20-02-2024: Menambahkan versi patch untuk GKE di VMware.

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

  • CVE-2023-6111

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.7-gke.1063001
  • 1.28.5-gke.1194000
  • 1.29.0-gke.1340000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Diperbarui: 20-02-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Pembaruan 20-02-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru: 1.28.100


Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS.

  • CVE-2023-6111

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-051

Dipublikasikan: 28-12-2023
Referensi: CVE-2023-3609

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.26.5-gke.1021001
  • 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3609

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-050

Dipublikasikan: 27-12-2023
Referensi: CVE-2023-3389

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.10-gke.1027001
  • 1.26.5-gke.1014001
  • 1.27.3-gke.1001002
  • 1.28.1-gke.1002003

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3389

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-049

Dipublikasikan: 20-12-2023
Referensi: CVE-2023-3090

GKE

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil seccomp Unconfined secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.400
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3090

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-048

Dipublikasikan: 15-12-2023
Diperbarui: 21-12-2023
Referensi: CVE-2023-3390

Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

GKE

Diperbarui: 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.27.4-gke.400
  • 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.12-gke.900
  • 1.26.5-gke.1014001
  • 1.27.4-gke.900
  • 1.28.1-gke.1050000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3390

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-047

Dipublikasikan: 14-12-2023

GKE

Deskripsi Keparahan

Penyerang yang telah membahayakan penampung logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Cloud Service Mesh (di cluster yang telah mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster. Masalah pada Fluent Bit dan Cloud Service Mesh telah diatasi dan perbaikan kini tersedia. Kerentanan ini tidak dapat dieksploitasi sendiri di GKE dan memerlukan kompromi awal. Kami tidak mengetahui adanya eksploitasi kerentanan ini.

Masalah ini dilaporkan melalui Vulnerability Reward Program kami.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki vulnerability ini di Fluent Bit dan untuk pengguna Cloud Service Mesh terkelola. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade secara manual cluster dan node pool ke salah satu versi GKE berikut atau yang lebih baru:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000

Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Kerentanan apa yang ditangani oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang membahayakan penampung logging Fluent Bit. Kami tidak mengetahui adanya kerentanan di Fluent Bit yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap pada masa mendatang

GKE menggunakan Fluent Bit untuk memproses log untuk workload yang berjalan di cluster. Fluent Bit di GKE juga dikonfigurasi untuk mengumpulkan log untuk beban kerja Cloud Run. Penyambungan volume yang dikonfigurasi untuk mengumpulkan log tersebut memberi Fluent Bit akses ke token akun layanan Kubernetes untuk Pod lain yang berjalan di node. Peneliti menggunakan akses ini untuk menemukan token akun layanan dengan hak istimewa tinggi untuk cluster yang mengaktifkan Cloud Service Mesh.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin

Kami telah menghapus akses Fluent Bit ke token akun layanan dan telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Sedang

GKE on VMware

Deskripsi Keparahan

Hanya GKE di cluster VMware yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Sedang

GKE on AWS

Deskripsi Keparahan

Hanya cluster GKE di AWS yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Sedang

GKE on Azure

Deskripsi Keparahan

Hanya cluster GKE di Azure yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang.

Cloud Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Sedang

GKE on Bare Metal

Deskripsi Keparahan

Hanya cluster GKE on Bare Metal yang menggunakan Cloud Service Mesh yang terpengaruh.

Apa yang harus saya lakukan?

Jika cluster Anda menggunakan Cloud Service Mesh dalam cluster, Anda harus mengupgrade secara manual ke salah satu versi berikut (catatan rilis):

  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan yang ditangani oleh buletin ini mengharuskan penyerang untuk terlebih dahulu menyusupi atau keluar dari penampung atau memiliki root di Node cluster. Kami tidak mengetahui kerentanan yang ada yang akan menyebabkan kondisi prasyarat ini untuk eskalasi hak istimewa. Kami telah menerapkan patch pada kerentanan ini sebagai langkah hardening untuk mencegah potensi rantai serangan lengkap di masa mendatang.

Anthos Service Mesh memerlukan hak istimewa tinggi untuk melakukan perubahan yang diperlukan pada konfigurasi cluster, termasuk kemampuan untuk membuat dan menghapus Pod. Peneliti menggunakan token akun layanan Kubernetes dengan hak istimewa Cloud Service Mesh untuk mengeskalasi hak istimewa awal yang disusupi dengan membuat pod baru dengan hak istimewa cluster-admin.

Kami telah mendesain ulang fungsi Cloud Service Mesh untuk menghapus hak istimewa yang berlebihan.

Sedang

GCP-2023-046

Dipublikasikan: 22-11-2023
Diperbarui: 04-03-2024
Referensi: CVE-2023-5717

Pembaruan 04-03-2024: Menambahkan versi GKE untuk GKE di VMware.

Pembaruan 22-01-2024: Menambahkan versi patch Ubuntu.

GKE

Diperbarui: 22-01-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 22-01-2024: Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2472000
  • 1.25.16-gke.1268000
  • 1.26.12-gke.1111000
  • 1.27.9-gke.1092000
  • 1.28.5-gke.1217000
  • 1.29.0-gke.138100

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.17-gke.2113000
  • 1.25.14-gke.1421000
  • 1.25.15-gke.1083000
  • 1.26.10-gke.1073000
  • 1.27.7-gke.1088000
  • 1.28.3-gke.1203000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Diperbarui: 29-02-2024

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Update 04-03-2024: Versi GKE on VMware berikut diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

  • 1.28.200
  • 1.16.5
  • 1.15.8
Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5717

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-045

Dipublikasikan: 2023-11-20
Diperbarui: 2023-12-21
Referensi: CVE-2023-5197

Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

GKE

Diperbarui: 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.25.13-gke.1002003
  • 1.26.9-gke.1514000
  • 1.27.6-gke.1513000
  • 1.28.2-gke.1164000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

  • 1.24.16-gke.1005001
  • 1.25.13-gke.1002003
  • 1.26.9-gke.1548000
  • 1.27.7-gke.1039000
  • 1.28.3-gke.1061000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-5197

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-042

Dipublikasikan: 13-11-2023
Diperbarui: 15-11-2023
Referensi: CVE-2023-4147

Pembaruan 15-11-2023: Mengklarifikasi bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi yang di-patch yang sesuai untuk GKE.

GKE

Diperbarui: 15-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot tidak terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 15-11-2023: Anda hanya perlu mengupgrade ke salah satu versi yang di-patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Misalnya, jika menggunakan GKE versi 1.27, Anda harus mengupgrade ke versi yang di-patch yang sesuai. Namun, jika menggunakan GKE versi 1.24, Anda tidak perlu mengupgrade ke versi yang di-patch.


Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.27.5-gke.200
  • 1.28.2-gke.1157000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.25.14-gke.1421000
  • 1.26.9-gke.1437000
  • 1.27.6-gke.1248000
  • 1.28.2-gke.1157000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi yang di-patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4147

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-041

Dipublikasikan: 08-11-2023
Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023
Referensi: CVE-2023-4004

Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

Pembaruan 05-12-2023: Menambahkan versi GKE tambahan untuk node pool Container-Optimized OS.

Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 05-12-2023: Beberapa versi GKE sebelumnya tidak ada. Berikut adalah daftar versi GKE terbaru yang dapat Anda gunakan untuk mengupdate Container-Optimized OS:

  • 1.24.17-gke.200 atau yang lebih baru
  • 1.25.13-gke.200 atau yang lebih baru
  • 1.26.8-gke.200 atau yang lebih baru
  • 1.27.4-gke.2300 atau yang lebih baru
  • 1.28.1-gke.1257000 atau yang lebih baru

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.27.4-gke.2300
  • 1.28.1-gke.1257000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4004

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-040

Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-4921

Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-039

Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 16-11-2023
Referensi: CVE-2023-4622

Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 salah dicantumkan sebagai kerentanan dalam buletin keamanan versi sebelumnya.

GKE

Diperbarui: 21-11-2023, 16-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.5-gke.1647000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Tinggi

GKE on VMware

Diperbarui: 16-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Diperbarui: 16-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Diperbarui: 16-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Diperbarui: 16-11-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-038

Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-4623

Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.14-gke.1351000
  • 1.26.9-gke.1345000
  • 1.27.6-gke.1389000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.2186000
  • 1.25.15-gke.1016000
  • 1.26.9-gke.1548000
  • 1.27.6-gke.1551000
  • 1.28.2-gke.1256000
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4623

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-037

Dipublikasikan: 06-11-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-4015

Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.27.5-gke.1647000

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.1-gke.1050000
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Tertunda

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Tertunda

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Tertunda

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4015

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tidak ada

GCP-2023-035

Dipublikasikan: 26-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-4206, CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1008000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.200

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.14-gke.1027001
  • 1.25.13-gke.1706000
  • 1.26.8-gke.1647000
  • 1.27.5-gke.1648000
  • 1.28.1-gke.1050000
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Tinggi

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Tinggi

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

Tinggi

GCP-2023-033

Dipublikasikan: 24-10-2023
Diperbarui: 21-11-2023, 21-12-2023
Referensi: CVE-2023-3777

Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh.

Pembaruan 21-11-2023: Menjelaskan bahwa hanya versi minor yang tercantum yang perlu diupgrade ke versi patch yang sesuai untuk GKE.

GKE

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN. Workload GKE Sandbox juga tidak terpengaruh.

Cluster Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox akan terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 21-11-2023: Anda hanya perlu mengupgrade ke salah satu versi patch yang tercantum dalam buletin ini jika Anda menggunakan versi minor tersebut di node. Versi minor yang tidak tercantum tidak akan terpengaruh.

Upgrade node pool Container-Optimized OS Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.16-gke.2200
  • 1.25.12-gke.2200
  • 1.26.7-gke.2200
  • 1.27.4-gke.2300

Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

  • 1.24.17-gke.700
  • 1.25.13-gke.700
  • 1.26.8-gke.700
  • 1.27.5-gke.700
  • 1.28.0-gke.100
Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Apa yang harus saya lakukan?

GKE on AWS

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Apa yang harus saya lakukan?

GKE on Azure

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Apa yang harus saya lakukan?

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

  • CVE-2023-3777

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh karena tidak memaketkan sistem operasi dalam distribusinya.

GCP-2023-030

Dipublikasikan: 10-10-2023
Diperbarui: 20-03-2024
Referensi: CVE-2023-44487CVE-2023-39325

Pembaruan 20-03-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure
Pembaruan 14-02-2024: Menambahkan versi patch untuk GKE di VMware
Pembaruan 09-11-2023: Menambahkan CVE-2023-39325. Memperbarui versi GKE dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325.

GKE

Diperbarui: 09-11-2023

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 09-11-2023: Kami telah merilis versi baru GKE yang menyertakan patch keamanan Go dan Kubernetes, yang dapat Anda gunakan untuk mengupdate cluster Anda sekarang. Dalam beberapa minggu mendatang, kami akan merilis perubahan tambahan pada platform kontrol GKE untuk mengurangi masalah ini lebih lanjut.

Versi GKE berikut telah diupdate dengan patch untuk CVE-2023-44487 dan CVE-2023-39325:

  • 1.24.17-gke.2155000
  • 1.25.14-gke.1474000
  • 1.26.10-gke.1024000
  • 1.27.7-gke.1038000
  • 1.28.3-gke.1090000

Sebaiknya terapkan mitigasi berikut sesegera mungkin dan upgrade ke versi terbaru yang telah di-patch jika tersedia.

Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan mengupgrade control plane Anda, dan juga membuat patch terlihat dalam postur keamanan GKE GKE jika tersedia untuk cluster Anda. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk saluran Anda, aktifkan notifikasi cluster.

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

Mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses panel kontrol:

Anda dapat menambahkan jaringan yang diizinkan untuk cluster yang ada. Untuk mempelajari lebih lanjut, lihat jaringan yang diizinkan untuk cluster yang ada.

Selain jaringan yang diizinkan yang Anda tambahkan, ada alamat IP preset yang dapat mengakses bidang kontrol GKE. Untuk mempelajari alamat ini lebih lanjut, lihat Akses ke endpoint panel kontrol. Item berikut meringkas isolasi cluster:

  • Cluster pribadi dengan --master-authorized-networks dan cluster berbasis PSC dengan --master-authorized-networks dan --no-enable-google-cloud yang dikonfigurasi adalah yang paling terisolasi.
  • Cluster publik lama dengan --master-authorized-networks dan cluster berbasis PSC dengan --master-authorized-networks dan --enable-google-cloud (default) yang dikonfigurasi juga dapat diakses oleh hal berikut:
    • Alamat IP publik semua VM Compute Engine di Google Cloud
    • Alamat IP Google Cloud Platform

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial-of-service pada node bidang kontrol GKE.

Tinggi

GKE on VMware

Diperbarui: 14-02-2024

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. GKE di VMware membuat cluster Kubernetes yang tidak dapat diakses langsung ke Internet secara default dan dilindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Pembaruan 14-02-2024: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi patch berikut atau yang lebih baru:

  • 1.28.100
  • 1.16.6
  • 1.15.8

Jika Anda telah mengonfigurasi GKE di cluster Kubernetes VMware agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes.

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. GKE di AWS membuat cluster Kubernetes pribadi yang tidak dapat diakses secara langsung ke Internet secara default dan dilindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: Versi GKE on AWS berikut telah diupdate dengan patch untuk CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di AWS agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes.

Tinggi

GKE on Azure

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. GKE di Azure membuat cluster Kubernetes pribadi yang tidak dapat diakses secara langsung ke Internet secara default dan dilindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Update 20-03-2024: Versi GKE on Azure berikut telah diupdate dengan patch untuk CVE-2023-44487:

  • 1.26.10-gke.600
  • 1.27.7-gke.600
  • 1.28.3-gke.700

Jika Anda telah mengonfigurasi GKE di cluster Azure agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes.

Tinggi

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan di beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada panel kontrol Kubernetes. Anthos on Bare Metal membuat cluster Kubernetes yang tidak dapat diakses langsung oleh Internet secara default dan dilindungi dari kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah mengonfigurasi Anthos di cluster Kubernetes Bare Metal agar memiliki akses langsung ke Internet atau jaringan tidak tepercaya lainnya, sebaiknya hubungi administrator firewall Anda untuk memblokir atau membatasi akses tersebut. Untuk mempelajari lebih lanjut, lihat ringkasan keamanan GKE di Bare Metal.

Sebaiknya upgrade ke versi patch terbaru, jika tersedia, sesegera mungkin.

Patch Golang akan dirilis pada 10 Oktober. Setelah tersedia, kami akan mem-build dan memenuhi syarat server Kubernetes API baru dengan patch tersebut dan membuat rilis GKE yang di-patch. Setelah rilis GKE tersedia, kami akan memperbarui buletin ini dengan panduan tentang versi yang akan digunakan untuk mengupgrade control plane Anda.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-44487, memungkinkan penyerang mengeksekusi serangan denial of service pada node control plane Kubernetes.

Tinggi

GCP-2023-026

Dipublikasikan: 06-09-2023
Referensi: CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GKE

Deskripsi Keparahan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Cluster GKE hanya terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade secara manual cluster dan node pool Anda ke salah satu versi GKE berikut:

  • 1.24.17-gke.200
  • 1.25.13-gke.200
  • 1.26.8-gke.200
  • 1.27.5-gke.200
  • 1.28.1-gke.200

Bidang kontrol GKE akan diupdate pada minggu 04-09-2023 untuk mengupdate csi-proxy ke versi 1.1.3. Jika Anda mengupdate node sebelum update control plane, Anda harus mengupdate node lagi setelah update untuk memanfaatkan proxy baru. Anda dapat mengupdate node lagi, bahkan tanpa mengubah versi node, dengan menjalankan perintah gcloud container clusters upgrade dan meneruskan flag --cluster-version dengan versi GKE yang sama dengan yang sudah dijalankan node pool. Anda harus menggunakan gcloud CLI untuk solusi ini. Perhatikan bahwa tindakan ini akan menyebabkan update, terlepas dari masa pemeliharaan.

Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki pembersihan input dan meneruskan string jalur buatan ini ke eksekutor perintah sebagai argumen tempat string tersebut akan mengeksekusi bagian string sebagai perintah terpisah. Perintah ini akan berjalan dengan hak istimewa administratif yang sama seperti yang dimiliki Kubelet.

Dengan CVE-2023-3955, Kubelet memberi pengguna yang dapat membuat Pod kemampuan untuk mengeksekusi kode pada tingkat izin yang sama dengan izin istimewa agen Kubelet.

Dengan CVE-2023-3893, kurangnya pembersihan input yang serupa memungkinkan pengguna yang dapat membuat Pod di node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin di node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell tersemat adalah indikasi kuat eksploitasi. ConfigMap dan Secret yang berisi perintah PowerShell tersemat dan dipasang ke Pod juga merupakan indikasi kuat eksploitasi.

Tinggi

GKE on VMware

Deskripsi Keparahan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Cluster hanya terpengaruh jika menyertakan node Windows.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-3676, pelaku kejahatan dapat membuat spesifikasi Pod dengan string jalur host yang berisi perintah PowerShell. Kubelet tidak memiliki pembersihan input dan meneruskan string jalur buatan ini ke eksekutor perintah sebagai argumen tempat string tersebut akan mengeksekusi bagian string sebagai perintah terpisah. Perintah ini akan berjalan dengan hak istimewa administratif yang sama seperti yang dimiliki Kubelet.

Dengan CVE-2023-3955, Kubelet memberi pengguna yang dapat membuat Pod kemampuan untuk mengeksekusi kode pada tingkat izin yang sama dengan izin istimewa agen Kubelet.

Dengan CVE-2023-3893, kurangnya pembersihan input yang serupa memungkinkan pengguna yang dapat membuat Pod di node Windows yang menjalankan kubernetes-csi-proxy untuk mengeskalasi ke hak istimewa admin di node tersebut.

Log audit Kubernetes dapat digunakan untuk mendeteksi apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan pod dengan perintah PowerShell tersemat adalah indikasi kuat eksploitasi. ConfigMap dan Secret yang berisi perintah PowerShell tersemat dan dipasang ke dalam Pod juga merupakan indikasi kuat eksploitasi.

Tinggi

GKE on AWS

Deskripsi Keparahan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Azure

Deskripsi Keparahan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Apa yang harus saya lakukan?

GKE di Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, yaitu pengguna yang dapat membuat Pod di node Windows mungkin dapat mengeskalasi ke hak istimewa admin di node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy CSI Kubernetes.

Apa yang harus saya lakukan?

GKE on Bare Metal tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2023-018

Dipublikasikan: 27-06-2023
Referensi: CVE-2023-2235

GKE

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE Autopilot terpengaruh karena node GKE Autopilot selalu menggunakan image node Container-Optimized OS. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node Container-Optimized OS akan terpengaruh.

Cluster GKE tidak akan terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum 1.25, atau menggunakan GKE Sandbox.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

  • 1.25.9-gke.1400
  • 1.26.4-gke.1500
  • 1.27.1-gke.2400

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di cluster VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free.

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE di AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free.

Tinggi

GKE on Azure

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE on Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-2235, fungsi perf_group_detach tidak memeriksa attach_state saudara peristiwa sebelum memanggil add_event_to_groups(), tetapi remove_on_exec memungkinkan panggilan list_del_event() sebelum melepaskan dari grupnya, sehingga memungkinkan penggunaan pointer yang tidak terikat yang menyebabkan kerentanan use-after-free.

Tinggi

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2023-017

Dipublikasikan: 2023-06-26
Diperbarui: 2023-07-11
Referensi: CVE-2023-31436

Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang melakukan patch CVE-2023-31436.

GKE

Diperbarui: 11-07-2023

Deskripsi Keparahan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 11-07-2023: Versi patch Ubuntu tersedia.

Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang melakukan patch pada CVE-2023-31436:

  • 1.23.17-gke.8200
  • 1.24.14-gke.2600
  • 1.25.10-gke.2700
  • 1.26.5-gke.2700
  • 1.27.2-gke.2700

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

  • 1.22.17-gke.11400
  • 1.23.17-gke.6800
  • 1.24.14-gke.1200
  • 1.25.10-gke.1200
  • 1.26.5-gke.1200
  • 1.27.2-gke.1200

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, ditemukan adanya kekurangan akses memori di luar batas dalam subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di cluster VMware terpengaruh.

Apa yang harus saya lakukan?

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-31436, ditemukan adanya kekurangan akses memori di luar batas dalam subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE di AWS terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, ditemukan adanya kekurangan akses memori di luar batas dalam subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Tinggi

GKE on Azure

Deskripsi Keparahan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE on Azure terpengaruh.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Dengan CVE-2023-31436, ditemukan adanya kekurangan akses memori di luar batas dalam subsistem kontrol traffic (QoS) kernel Linux terkait cara pengguna memicu fungsi qfq_change_class dengan nilai MTU perangkat jaringan yang salah yang digunakan sebagai lmax. Kekurangan ini memungkinkan pengguna lokal mengalami error atau berpotensi meningkatkan hak istimewanya di sistem.

Tinggi

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GCP-2023-016

Dipublikasikan: 26-06-2023
Referensi: CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, {11-2023-CVE, {11-2023-202, {11-CVE-202, {11-274-202CVE-2023-27491CVE-2023-27487

GKE

Deskripsi Keparahan

Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh (ASM). Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE tidak dikirimkan dengan ASM dan tidak terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Jika Anda telah menginstal ASM secara terpisah untuk cluster GKE, lihat GCP-2023-002.

Tidak ada

GKE on VMware

Deskripsi Keparahan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh di GKE di VMware, yang memungkinkan penyerang berbahaya untuk menyebabkan denial of service atau membuat Envoy error. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

  • 1.13.8
  • 1.14.5
  • 1.15.1

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan dan diekspos, pelaku malicious dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti SAN sertifikat peer.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan yang besar untuk rute yang mengaktifkan filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat secara khusus untuk memicu error penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Tinggi

GKE on AWS

Deskripsi Keparahan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di AWS tidak dikirimkan dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Azure

Deskripsi Keparahan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

GKE di Azure tidak dikirimkan dengan ASM dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

Sejumlah kerentanan (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487), telah ditemukan di Envoy, yang digunakan di Cloud Service Mesh di GKE pada Bare Metal, yang memungkinkan penyerang berbahaya menyebabkan denial of service atau membuat Envoy error. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002, tetapi kami ingin memastikan bahwa pelanggan GKE Enterprise mengupdate versi mereka yang menyertakan ASM.

Apa yang harus saya lakukan?

Versi GKE on Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di Bare Metal berikut:

  • 1.13.9
  • 1.14.6
  • 1.15.2

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth yang diaktifkan dan diekspos, pelaku malicious dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.

CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.

CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dihasilkan menggunakan input dari permintaan, seperti SAN sertifikat peer.

CVE-2023-27492: Penyerang dapat mengirim isi permintaan yang besar untuk rute yang mengaktifkan filter Lua dan memicu error.

CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat secara khusus untuk memicu error penguraian pada layanan upstream HTTP/1.

CVE-2023-27487: Header x-envoy-original-path harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Tinggi

GCP-2023-015

Dipublikasikan: 2023-06-20
Referensi: CVE-2023-0468

GKE

Deskripsi Keparahan

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node. Cluster GKE, termasuk cluster Autopilot, terpengaruh.

Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

  • 1.25.7-gke.1200
  • 1.26.2-gke.1200

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

Kerentanan apa yang sedang ditangani?

Dalam CVE-2023-0468, ditemukan bug use-after-free di io_uring/poll.c di io_poll_check_events di subkomponen io_uring di Kernel Linux. Kekurangan ini dapat menyebabkan dereferensi pointer NULL, dan berpotensi menyebabkan error sistem yang menyebabkan penolakan layanan.

Sedang

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node.

GKE di VMware menggunakan Kernel Linux versi 5.4 dan tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan apa pun
Tidak ada

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node.

GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan apa pun
Tidak ada

GKE on Azure

Deskripsi Keparahan

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node.

GKE on Azure tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan apa pun
Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan baru (CVE-2023-0468) telah ditemukan di kernel Linux versi 5.15 yang dapat menyebabkan denial of service di node.

Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

  • Anda tidak perlu melakukan apa pun
Tidak ada

GCP-2023-014

Dipublikasikan: 15-06-2023
Diperbarui: 11-08-2023
Referensi: CVE-2023-2727, CVE-2023-2728

Pembaruan 11-08-2023: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan GKE di Bare Metal

GKE

Deskripsi Keparahan

Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728).

GKE tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Semua versi GKE berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

  • 1.27.2-gke.1200
  • 1.26.5-gke.1200
  • 1.25.10-gke.1200
  • 1.24.14-gke.1200
  • 1.23.17-gke.6800

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Tindakan ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu.

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama.

Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:

  • Plugin izin ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan penampung sementara.
Sedang

GKE on VMware

Diperbarui: 11-08-2023

Deskripsi Keparahan

Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728) Anthos di VMware tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.

Semua versi Anthos di VMware berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

  • 1.13.10
  • 1.14.6
  • 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama.

Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:

  • Plugin izin ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan penampung sementara.
Sedang

GKE on AWS

Diperbarui: 11-08-2023

Deskripsi Keparahan

Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728)
Anthos di AWS tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos di AWS berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE on AWS berikut:

  • 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama.

Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:

  • Plugin izin ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan penampung sementara.
Sedang

GKE on Azure

Diperbarui: 11-08-2023

Deskripsi Keparahan

Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728)
Anthos di Azure tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos on Azure berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi GKE on Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke versi GKE di Azure berikut:

  • 1.15.2

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama.

Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:

  • Plugin izin ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan penampung sementara.
Sedang

GKE on Bare Metal

Diperbarui: 11-08-2023

Deskripsi Keparahan

Dua masalah keamanan baru ditemukan di Kubernetes, yaitu pengguna mungkin dapat meluncurkan penampung yang mengabaikan batasan kebijakan saat menggunakan penampung sementara dan ImagePolicyWebhook (CVE-2023-2727) atau plugin izin ServiceAccount (CVE-2023-2728)
Anthos di Bare Metal tidak menggunakan ImagePolicyWebhook dan tidak terpengaruh oleh CVE-2023-2727.
Semua versi Anthos on Bare Metal berpotensi rentan terhadap CVE-2023-2728.

Apa yang harus saya lakukan?

Pembaruan 11-08-2023: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual for Bare Metal berikut:

  • 1.13.9
  • 1.14.7
  • 1.15.3

Kerentanan apa yang sedang ditangani?

Dengan CVE-2023-2727, pengguna mungkin dapat meluncurkan container menggunakan image yang dibatasi oleh ImagePolicyWebhook saat menggunakan container sementara. Cluster Kubernetes hanya terpengaruh jika plugin akses ImagePolicyWebhook digunakan bersama dengan penampung sementara. CVE ini juga dapat dimitigasi dengan menggunakan webhook validasi, seperti Gatekeeper dan Kyverno, untuk menerapkan batasan yang sama.

Pada CVE-2023-2728, pengguna mungkin dapat meluncurkan penampung yang mengabaikan kebijakan secret yang dapat dipasang yang diterapkan oleh plugin izin ServiceAccount saat menggunakan penampung sementara. Kebijakan ini memastikan bahwa Pod yang berjalan dengan akun layanan hanya dapat mereferensikan secret yang ditentukan di kolom secret akun layanan. Cluster akan terpengaruh oleh kerentanan ini jika:

  • Plugin izin ServiceAccount digunakan.
  • Anotasi kubernetes.io/enforce-mountable-secrets digunakan oleh akun layanan. Anotasi ini tidak ditambahkan secara default.
  • Pod menggunakan penampung sementara.
Sedang

GCP-2023-009

Dipublikasikan: 06-06-2023
Referensi: CVE-2023-2878

GKE

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault.

GKE tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui tanda -v.

Tidak ada

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault.

GKE di VMware tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE di VMware tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui tanda -v.

Tidak ada

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault.

GKE di AWS tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE di AWS tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui tanda -v.

Tidak ada

GKE on Azure

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault.

GKE on Azure tidak terpengaruh oleh CVE ini

Apa yang harus saya lakukan?

Meskipun GKE di Azure tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui tanda -v.

Tidak ada

GKE on Bare Metal

Deskripsi Keparahan

Kerentanan baru (CVE-2023-2878) telah ditemukan di driver secrets-store-csi, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault.

GKE on Bare Metal tidak terpengaruh oleh CVE ini.

Apa yang harus saya lakukan?

Meskipun GKE di Bare Metal tidak terpengaruh, jika Anda telah menginstal komponen secrets-store-csi-driver, Anda harus mengupdate penginstalan dengan versi yang di-patch

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan, CVE-2023-2878, ditemukan di secrets-store-csi-driver, tempat pelaku dengan akses ke log driver dapat mengamati token akun layanan. Token ini kemudian dapat ditukar dengan penyedia cloud eksternal untuk mengakses secret yang disimpan di solusi cloud vault. Token hanya dicatat ke dalam log saat TokenRequests dikonfigurasi dalam objek CSIDriver dan driver disetel untuk berjalan pada level log 2 atau yang lebih tinggi melalui tanda -v.

Tidak ada

GCP-2023-008

Dipublikasikan: 2023-06-05
Referensi: CVE-2023-1872

GKE

Deskripsi Keparahan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

  • 1.22.17-gke.11400
  • 1.23.17-gke.5600
  • 1.24.13-gke.2500
  • 1.25.9-gke.2300
  • 1.26.5-gke.1200

Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi perlombaan dengan file tetap yang tidak terdaftar.

Tinggi

GKE on VMware

Deskripsi Keparahan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

Apa yang harus saya lakukan?

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi perlombaan dengan file tetap yang tidak terdaftar.

Tinggi

GKE on AWS

Deskripsi Keparahan

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

Apa yang harus saya lakukan?

Versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini:

  • 1.15.1
  • Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi perlombaan dengan file tetap yang tidak terdaftar.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

    Apa yang harus saya lakukan?

    Versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini:

  • 1.15.1
  • Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1872 adalah kerentanan use-after-free di subsistem io_uring kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal. Fungsi io_file_get_fixed tidak memiliki ctx->uring_lock, yang dapat menyebabkan kerentanan use-after-free karena kondisi perlombaan dengan file tetap yang tidak terdaftar.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

    GKE on Bare Metal tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2023-005

    Dipublikasikan: 18-05-2023
    Diperbarui: 06-06-2023
    Referensi: CVE-2023-1281, CVE-2023-1829

    Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang menerapkan patch CVE-2023-1281 dan CVE-2023-1829.

    GKE

    Diperbarui: 06-06-2023

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node. Cluster GKE Standard terpengaruh.

    Cluster GKE Autopilot dan cluster yang menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Pembaruan 06-06-2023: Versi patch Ubuntu tersedia.

    Versi GKE berikut telah diupdate untuk menyertakan versi Ubuntu terbaru yang melakukan patch CVE-2023-1281 dan CVE-2023-1829:

    • 1.23.17-gke.6800
    • 1.24.14-gke.1200
    • 1.25.10-gke.1200
    • 1.26.5-gke.1200

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

    • 1.22.17-gke.8100
    • 1.23.17-gke.2300
    • 1.24.12-gke.1100
    • 1.25.8-gke.1000
    • 1.26.3-gke.1000

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic (tcindex) Kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pembebasan struktur data dua kali.

    Pada CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan penggunaan setelah bebas saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke root.

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

    Apa yang harus saya lakukan?

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic (tcindex) Kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pembebasan struktur data dua kali.

    Pada CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan penggunaan setelah bebas saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke root.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

    Apa yang harus saya lakukan?

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic (tcindex) Kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pembebasan struktur data dua kali.

    Pada CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan penggunaan setelah bebas saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke root.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

    Apa yang harus saya lakukan?

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2023-1281 dan CVE-2023-1829 adalah kerentanan use-after-free di filter indeks kontrol traffic traffic (tcindex) Kernel Linux yang dapat dieksploitasi untuk mencapai eskalasi hak istimewa lokal.

    Dengan CVE-2023-1829, fungsi tcindex_delete tidak menonaktifkan filter dengan benar dalam kasus tertentu yang nantinya dapat menyebabkan pembebasan struktur data dua kali.

    Pada CVE-2023-1281, area hash yang tidak sempurna dapat diperbarui saat paket melintas, yang akan menyebabkan penggunaan setelah bebas saat tcf_exts_exec() dipanggil dengan tcf_ext yang dihancurkan. Pengguna penyerang lokal dapat menggunakan kerentanan ini untuk meningkatkan hak istimewanya ke root.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa ke root di node.

    GKE on Bare Metal tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2023-003

    Dipublikasikan: 11-04-2023
    Diperbarui: 21-12-2023
    Referensi: CVE-2023-0240, CVE-2023-23586

    Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

    GKE

    Diperbarui: 21-12-2023

    Deskripsi Keparahan

    Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. Cluster GKE, termasuk cluster Autopilot, dengan COS yang menggunakan Linux Kernel versi 5.10 hingga 5.10.162 terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • 1.22.17-gke.4000
    • 1.23.16-gke.1100
    • 1.24.10-gke.1200

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Kerentanan 1 (CVE-2023-0240): Kondisi perlombaan di io_uring dapat menyebabkan container penuh keluar ke root di node. Versi kernel Linux 5.10 terpengaruh hingga 5.10.162.

    Kerentanan 2 (CVE-2023-23586): Use after free (UAF) di io_uring/time_ns dapat menyebabkan container penuh keluar ke root di node. Versi kernel Linux 5.10 terpengaruh hingga 5.10.162.

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. GKE di cluster VMware dengan COS yang menggunakan Linux Kernel versi 5.10 hingga 5.10.162 terpengaruh. Cluster GKE Enterprise yang menggunakan image Ubuntu tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini:

    • 1.12.6
    • 1.13.5

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Kerentanan 1 (CVE-2023-0240): Kondisi perlombaan di io_uring dapat menyebabkan container penuh keluar ke root di node. Versi kernel Linux 5.10 terpengaruh hingga 5.10.162.

    Kerentanan 2 (CVE-2023-23586): Use after free (UAF) di io_uring/time_ns dapat menyebabkan container penuh keluar ke root di node. Versi kernel Linux 5.10 terpengaruh hingga 5.10.162.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. GKE di AWS tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. GKE on Azure tidak terpengaruh oleh CVE ini

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keparahan

    Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan hak istimewa. GKE on Bare Metal tidak terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2023-001

    Dipublikasikan: 01-03-2023
    Diperbarui: 21-12-2023
    Referensi: CVE-2022-4696

    Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

    GKE

    Deskripsi Keparahan

    Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

    Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut:

    • 1.22.17-gke.3100
    • 1.23.16-gke.200
    • 1.24.9-gke.3200

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-4696, ditemukan bug use-after-free di io_uring dan ioring_op_splice di kernel Linux. Kekurangan ini memungkinkan pengguna lokal membuat eskalasi hak istimewa lokal.

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di VMware yang menjalankan v1.12 dan v1.13 terpengaruh. GKE di VMware yang menjalankan v1.14 atau yang lebih baru tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

    • 1.12.5
    • 1.13.5

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-4696, ditemukan bug use-after-free di io_uring dan ioring_op_splice di kernel Linux. Kekurangan ini memungkinkan pengguna lokal membuat eskalasi hak istimewa lokal.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE di AWS tidak terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE on Azure tidak terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node. GKE on Bare Metal tidak terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    GCP-2022-026

    Dipublikasikan: 11-01-2023
    Referensi: CVE-2022-3786, CVE-2022-3602

    GKE

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error. Meskipun masalah ini diberi rating Tinggi di database NVD, endpoint GKE menggunakan boringSSL atau OpenSSL versi lama yang tidak terpengaruh, sehingga ratingnya telah diturunkan menjadi Sedang untuk GKE.

    Apa yang harus saya lakukan?

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

    • 1.25.4-gke.1600
    • 1.24.8-gke.401
    • 1.23.14-gke.401
    • 1.22.16-gke.1300
    • 1.21.14-gke.14100

    Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Tindakan ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3786 dan CVE-2022-3602, buffer overrun dapat dipicu dalam verifikasi sertifikat X.509 yang dapat menyebabkan error yang akan mengakibatkan denial of service. Agar dapat dieksploitasi, kerentanan ini mengharuskan CA menandatangani sertifikat berbahaya atau aplikasi melanjutkan verifikasi sertifikat meskipun gagal membuat jalur ke penerbit tepercaya.

    Sedang

    GKE on VMware

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

    Apa yang harus saya lakukan?

    GKE di VMware tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tindakan tidak diperlukan.

    Tidak ada

    GKE on AWS

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

    Apa yang harus saya lakukan?

    GKE di AWS tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tindakan tidak diperlukan.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

    Apa yang harus saya lakukan?

    GKE di Azure tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tindakan tidak diperlukan.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

    Apa yang harus saya lakukan?

    GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak menggunakan versi OpenSSL yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2022-025

    Dipublikasikan: 21-12-2022
    Diperbarui: 19-01-2023, 21-12-2023
    Referensi: CVE-2022-2602

    Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

    Pembaruan 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.

    GKE

    Diperbarui: 19-01-2023

    Deskripsi Keparahan

    Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

    Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di kernel Linux yang dapat memungkinkan penyerang berpotensi mengeksekusi kode arbitrer. Cluster GKE, termasuk cluster Autopilot, terpengaruh.

    Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Pembaruan 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade node pool Anda ke versi ini atau yang lebih baru.


    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • Container-Optimized OS:
      • 1.22.16-gke.1300 dan yang lebih baru
      • 1.23.14-gke.401 dan yang lebih baru
      • 1.24.7-gke.900 dan yang lebih baru
      • 1.25.4-gke.1600 dan yang lebih baru
    • Ubuntu:
      • 1.22.15-gke.2500 dan yang lebih baru
      • 1.23.13-gke.900 dan yang lebih baru
      • 1.24.7-gke.900 dan yang lebih baru
      • 1.25.3-gke.800 dan yang lebih baru

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pengumpulan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di kernel Linux yang dapat memungkinkan penyerang berpotensi mengeksekusi kode arbitrer.

    Versi GKE 1.11, 1.12, dan 1.13 di VMware terpengaruh.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang di-patch. Versi GKE berikut di VMware berisi kode yang memperbaiki kerentanan ini:

    • 1.13.2
    • 1.12.4
    • 1.11.5

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pengumpulan sampah socket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di kernel Linux yang dapat memungkinkan penyerang berpotensi mengeksekusi kode arbitrer.

    Apa yang harus saya lakukan?

    Versi GKE generasi saat ini dan sebelumnya di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut:

    • Generasi saat ini:
      • 1.22.15-gke.100
      • 1.23.11-gke.300
      • 1.24.5-gke.200
    • Generasi sebelumnya:
      • 1.22.15-gke.1400
      • 1.23.12-gke.1400
      • 1.24.6-gke.1300

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pengumpulan sampah soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di kernel Linux yang dapat memungkinkan penyerang berpotensi mengeksekusi kode arbitrer.

    Apa yang harus saya lakukan?

    Versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di Azure berikut:

    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2602, kondisi race antara pemrosesan permintaan io_uring dan pengumpulan sampah soket Unix dapat menyebabkan kerentanan use-after-free. Penyerang lokal dapat menggunakannya untuk memicu denial of service atau mungkin mengeksekusi kode arbitrer.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2602) telah ditemukan di subsistem io_uring di kernel Linux yang dapat memungkinkan penyerang berpotensi mengeksekusi kode arbitrer.

    GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2022-024

    Dipublikasikan: 09-11-2022
    Diperbarui: 19-01-2023
    Referensi: CVE-2022-2585, CVE-2022-2588

    Pembaruan 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
    Update 16-12-2022: Menambahkan versi patch yang direvisi untuk GKE dan GKE di VMware.

    GKE

    Diperbarui: 19-01-2023

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node. Cluster GKE, termasuk cluster Autopilot, terpengaruh.

    Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Pembaruan 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade node pool Anda ke versi ini atau yang lebih baru.

    Pembaruan 16-12-2022: Buletin versi sebelumnya telah direvisi karena regresi rilis. Harap upgrade node pool Anda secara manual ke salah satu versi GKE berikut:

    • 1.22.16-gke.1300 dan yang lebih baru
    • 1.23.14-gke.401 dan yang lebih baru
    • 1.24.7-gke.900 dan yang lebih baru
    • 1.25.4-gke.1600 dan yang lebih baru

    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • 1.21.14-gke.9500
    • 1.24.7-gke.900

    Update untuk GKE v1.22, 1.23, dan 1.25 akan segera tersedia. Buletin keamanan ini akan diperbarui saat tersedia.

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    • Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploitasi use-after-free, bergantung pada cara timer dibuat dan dihapus.
    • Dengan CVE-2022-2588, ditemukan bug use-after-free di route4_change di kernel Linux. Kekurangan ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi hak istimewa lokal.
    Tinggi

    GKE on VMware

    Diperbarui: 16-12-2022

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node.

    GKE versi 1.13, 1.12, dan 1.11 di VMware terpengaruh.

    Apa yang harus saya lakukan?

    Pembaruan 16-12-2022: Versi GKE di VMware berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

    • 1.13.2
    • 1.12.4
    • 1.11.6

    • Catatan: Versi GKE di VMware yang berisi patch Container-Optimized OS akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    • Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploitasi use-after-free, bergantung pada cara timer dibuat dan dihapus.
    • Dengan CVE-2022-2588, ditemukan bug use-after-free di route4_change di kernel Linux. Kekurangan ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi hak istimewa lokal.
    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node.

    Versi Kubernetes berikut di AWS mungkin terpengaruh:

    • 1.23: Versi yang lebih lama dari 1.23.9-gke.800. Versi minor yang lebih baru tidak terpengaruh
    • 1.22: Versi yang lebih lama dari 1.22.12-gke.1100. Versi minor yang lebih baru tidak terpengaruh

    Kubernetes V1.24 tidak terpengaruh.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke salah satu versi AWS Kubernetes berikut:

    • 1.23: versi yang lebih baru dari v1.23.9-gke.800
    • 1.22: versi yang lebih baru dari 1.22.12-gke-1100

    Kerentanan apa yang sedang ditangani?

    Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploitasi use-after-free, bergantung pada cara timer dibuat dan dihapus.

    Dengan CVE-2022-2588, ditemukan bug use-after-free di route4_change di kernel Linux. Kekurangan ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi hak istimewa lokal.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node.

    Versi Kubernetes berikut di Azure mungkin terpengaruh:

    • 1.23: Versi yang lebih lama dari 1.23.9-gke.800. Versi minor yang lebih baru tidak akan terpengaruh.
    • 1.22: Versi yang lebih lama dari 1.22.12-gke.1100. Versi minor yang lebih baru tidak terpengaruh.

    Kubernetes V1.24 tidak terpengaruh.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke salah satu versi Azure Kubernetes berikut:

    • 1.23: versi yang lebih baru dari v1.23.9-gke.800
    • 1.22: versi yang lebih baru dari 1.22.12-gke-1100

    Kerentanan apa yang sedang ditangani?

    Dengan CVE-2022-2585, pembersihan timer yang tidak tepat di timer cpu posix memungkinkan eksploitasi use-after-free, bergantung pada cara timer dibuat dan dihapus.

    Dengan CVE-2022-2588, ditemukan bug use-after-free di route4_change di kernel Linux. Kekurangan ini memungkinkan pengguna lokal membuat sistem error dan mungkin menyebabkan eskalasi hak istimewa lokal.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keparahan

    Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh keluar ke root di node.

    GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan.

    Tidak ada

    GCP-2022-023

    Dipublikasikan: 04-11-2022
    Referensi: CVE-2022-39278

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat bidang kontrol error.

    Apa yang harus saya lakukan?

    Google Kubernetes Engine (GKE) tidak dikirimkan dengan Istio dan tidak terpengaruh oleh kerentanan ini. Namun, jika Anda telah menginstal Cloud Service Mesh atau Istio secara terpisah di cluster GKE, lihat GCP-2022-020, buletin keamanan Cloud Service Mesh tentang CVE ini, untuk mengetahui informasi selengkapnya.

    Tidak ada

    GKE on VMware

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh di GKE di VMware, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol Istio.

    Apa yang harus saya lakukan?

    Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke salah satu versi GKE di VMware berikut:

    • 1.11.4
    • 1.12.3
    • 1.13.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, istiod, rentan terhadap error pemrosesan permintaan, yang memungkinkan penyerang berbahaya mengirim pesan yang dibuat khusus yang menyebabkan bidang kontrol mengalami error saat webhook validasi untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui port TLS 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat panel kontrol error.

    Apa yang harus saya lakukan?

    GKE di AWS tidak terpengaruh oleh kerentanan ini dan tidak diperlukan tindakan apa pun.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh, yang memungkinkan penyerang berbahaya membuat panel kontrol error.

    Apa yang harus saya lakukan?

    GKE di Azure tidak terpengaruh oleh kerentanan ini dan tidak diperlukan tindakan apa pun.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Cloud Service Mesh di GKE pada Bare Metal, yang memungkinkan penyerang berbahaya membuat bidang kontrol Istio error.

    Apa yang harus saya lakukan?

    Versi GKE on Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster ke salah satu versi GKE di Bare Metal berikut:

    • 1.11.7
    • 1.12.4
    • 1.13.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan kerentanan CVE-2022-39278, bidang kontrol Istio, istiod, rentan terhadap error pemrosesan permintaan, yang memungkinkan penyerang berbahaya mengirim pesan yang dibuat khusus yang menyebabkan bidang kontrol mengalami error saat webhook validasi untuk cluster diekspos secara publik. Endpoint ini ditayangkan melalui port TLS 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

    Tinggi

    GCP-2022-022-updated

    Dipublikasikan: 08-12-2022
    Referensi: CVE-2022-20409

    GKE

    Diperbarui: 14-12-2022

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Cluster Google Kubernetes Engine (GKE) v1.22, v1.23, dan v1.24, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 93 dan 97 terpengaruh. Versi GKE lainnya yang didukung tidak terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Pembaruan 14-12-2022: Versi buletin sebelumnya telah direvisi karena regresi rilis. Harap upgrade node pool Anda secara manual ke salah satu versi GKE berikut:

    • 1.22.15-gke.2500 dan yang lebih baru
    • 1.23.13-gke.900 dan yang lebih baru
    • 1.24.7-gke.900 dan yang lebih baru

    Versi GKE berikut yang menggunakan Container-Optimized OS versi 93 dan 97 telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • 1.22.15-gke.2300 dan yang lebih baru
    • 1.23.13-gke.700 dan yang lebih baru
    • 1.24.7-gke.700 dan yang lebih baru

    Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan di io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk penolakan layanan (error sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tinggi

    GKE on VMware

    Diperbarui: 14-12-2022

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal.

    Apa yang harus saya lakukan?

    Pembaruan 14-12-2022: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:

    • 1.13.1 dan yang lebih baru
    • 1.12.3 dan yang lebih baru
    • 1.11.4 dan yang lebih baru

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan di io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk penolakan layanan (error sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan ke hak istimewa eksekusi sistem.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE on AWS tidak menggunakan versi kernel Linux yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan di io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk penolakan layanan (error sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna tanpa hak istimewa untuk meningkatkan ke hak istimewa eksekusi sistem.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-20409, Kernel Linux memiliki kerentanan di io_identity_cow dari subsistem io_uring. Ada potensi kerusakan memori karena kerentanan Use-After-Free (UAF). Penyerang lokal dapat menggunakan kerusakan memori ini untuk penolakan layanan (error sistem) atau mungkin untuk mengeksekusi kode arbitrer.

    Tidak ada

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal.

    Apa yang harus saya lakukan?

    • Anda tidak perlu melakukan tindakan apa pun. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.
    Tidak ada

    GCP-2022-021

    Dipublikasikan: 27-10-2022
    Diperbarui: 19-01-2023, 21-12-2023
    Referensi: CVE-2022-3176

    Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

    Pembaruan 19-01-2023: GKE versi 1.21.14-gke.14100 tersedia.
    Pembaruan 15-12-2022: Memperbarui informasi bahwa versi 1.21.14-gke.9400 Google Kubernetes Engine menunggu peluncuran dan dapat diganti dengan nomor versi yang lebih tinggi.
    Update 21-11-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.

    GKE

    Diperbarui: 19-01-2023, 21-12-2023

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mendapatkan breakout penampung penuh ke root di node.

    Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

    Cluster Google Kubernetes Engine (GKE) v1.21, termasuk cluster Autopilot, yang menggunakan Container-Optimized OS versi 89 akan terpengaruh. Versi GKE yang lebih baru tidak terpengaruh. Semua cluster Linux dengan Ubuntu akan terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak akan terpengaruh.

    Apa yang harus saya lakukan?

    Pembaruan 19-01-2023: Versi 1.21.14-gke.14100 tersedia. Upgrade node pool Anda ke versi ini atau yang lebih baru.

    Pembaruan 15-12-2022: Versi 1.21.14-gke.9400 menunggu peluncuran dan mungkin diganti dengan nomor versi yang lebih tinggi. Kami akan memperbarui dokumen ini saat versi baru tersebut tersedia.


    Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini dalam rilis mendatang. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • Container-Optimized OS:
      • 1.21.14-gke.7100 dan yang lebih baru
    • Ubuntu:
      • 1.21.14-gke.9400 dan yang lebih baru
      • 1.22.15-gke.2400 dan yang lebih baru
      • 1.23.13-gke.800 dan yang lebih baru
      • 1.24.7-gke.800 dan yang lebih baru
      • 1.25.3-gke.700 dan yang lebih baru

    Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Fitur ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa.

    Tinggi

    GKE on VMware

    Diperbarui: 21-11-2022

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai breakout penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    • Versi GKE di VMware dengan Container-Optimized OS tidak akan terpengaruh.

    Pembaruan 21-11-2022: Versi GKE di VMware untuk Ubuntu berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:

    • 1.12.3 dan yang lebih baru
    • 1.13.1 dan yang lebih baru
    • 1.11.5 dan yang lebih baru

    Versi GKE di VMware yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa.

    Tinggi

    GKE on AWS

    Diperbarui: 21-11-2022

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mendapatkan breakout penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Pembaruan 21-11-2022: Versi GKE di AWS generasi saat ini dan sebelumnya berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut:

    Generasi saat ini
    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200
    Generasi sebelumnya
    • 1.22.15-gke.1400
    • 1.23.12-gke.1400
    • 1.24.6-gke.1300

    Versi GKE di AWS yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di AWS tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa.

    Tinggi

    GKE on Azure

    Diperbarui: 21-11-2022

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mendapatkan breakout penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Update 21-11-2022: Versi GKE on Azure berikut telah diupdate dengan kode untuk memperbaiki vulnerability ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di Azure berikut:

    • 1.21.14-gke.7100
    • 1.22.15-gke.100
    • 1.23.11-gke.300
    • 1.24.5-gke.200

    Versi GKE on Azure yang berisi patch Ubuntu akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-3176, Kernel Linux memiliki kerentanan di subsistem io_uring. Penanganan POLLFREE yang tidak ada dapat menyebabkan eksploitasi Use-After-Free (UAF) yang dapat digunakan untuk eskalasi hak istimewa.

    Tinggi

    GKE on Bare Metal

    Deskripsi Keparahan

    Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai breakout penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Tindakan tidak diperlukan. GKE di Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-018

    Dipublikasikan: 01-08-2022
    Diperbarui: 14-09-2022, 21-12-2023
    Referensi: CVE-2022-2327

    Pembaruan 21-12-2023: Menjelaskan bahwa cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh.

    Pembaruan 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.

    GKE

    Diperbarui: 21-12-2023

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node.

    Detail teknis

    Pembaruan 21-12-2023: Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda menetapkan profil Unconfined seccomp secara eksplisit atau mengizinkan CAP_NET_ADMIN.

    Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS (COS) yang menggunakan Linux Kernel versi 5.10 terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau menggunakan GKE Sandbox tidak terpengaruh.

    Apa yang harus saya lakukan?

    Upgrade cluster GKE Anda ke versi yang menyertakan perbaikan. Image node Linux untuk COS telah diupdate bersama dengan versi GKE yang menggunakan versi COS tersebut.

    Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade secara manual node pool ke salah satu versi GKE berikut:

    Versi COS

    • 1.22.12-gke.300
    • 1.23.8-gke.1900
    • 1.24.2-gke.1900


    Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, kernel Linux dalam versi 5.10 memiliki kerentanan di subsistem io_uring tempat berbagai permintaan tidak memiliki jenis item (flag). Menggunakan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root.
    Tinggi

    GKE on VMware

    Diperbarui: 14-09-2022

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node.

    Cluster dengan image Container Optimized OS (COS) yang menggunakan GKE di VMware versi 1.10, 1.11, dan 1.12 terpengaruh.

    Apa yang harus saya lakukan?

    Pembaruan 14-09-2022: Versi GKE berikut di VMware berisi kode yang memperbaiki kerentanan ini.

    • 1.10.6 atau yang lebih baru
    • 1.11.3 atau yang lebih baru
    • 1.12.1 atau yang lebih baru

    Versi GKE di VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, kernel Linux dalam versi 5.10 memiliki kerentanan di subsistem io_uring tempat berbagai permintaan tidak memiliki jenis item (flag). Menggunakan permintaan ini tanpa jenis item yang sesuai yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root.

    Tinggi

    GKE on AWS

    Diperbarui: 14-09-2022

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Pembaruan 14-09-2022: Versi GKE generasi saat ini dan sebelumnya di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut:

    Generasi saat ini

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Generasi sebelumnya

    • 1.23.8-gke.2000
    • 1.22.12-gke.300
    • 1.21.14-gke.2100

    Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di AWS tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, kernel Linux dalam versi 5.10 memiliki kerentanan di subsistem io_uring tempat berbagai permintaan tidak memiliki jenis item (flag). Menggunakan permintaan ini tanpa jenis item yang sesuai yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root.

    Tinggi

    GKE on Azure

    Diperbarui: 14-09-2022

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Pembaruan 14-09-2022: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di Azure berikut:

    • 1.23.8-gke.1700
    • 1.22.12-gke.200
    • 1.21.14-gke.2100

    Versi GKE on Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-2327, kernel Linux dalam versi 5.10 memiliki kerentanan di subsistem io_uring tempat berbagai permintaan tidak memiliki jenis item (flag). Menggunakan permintaan ini tanpa jenis item yang tepat yang ditentukan dapat menyebabkan eskalasi hak istimewa ke root.

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna tanpa hak istimewa untuk mencapai pemisahan penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-017

    Dipublikasikan: 29-06-2022
    Diperbarui: 22-11-2022
    Referensi: CVE-2022-1786
    Update 22-11-2022: Memperbarui informasi tentang workload yang menggunakan GKE Sandbox.
    Update 21-07-2022: Memperbarui informasi bahwa image GKE di VMware COS terpengaruh.

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keparahan

    Update 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.


    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Hanya cluster yang menjalankan Container-Optimized OS yang terpengaruh. Versi Ubuntu GKE menggunakan kernel versi 5.4 atau 5.15 dan tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk Container-Optimized OS untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade kumpulan node secara manual ke salah satu versi GKE mendatang berikut:

    • 1.22.10-gke.600
    • 1.23.7-gke.1400
    • 1.24.1-gke.1400

    Fitur saluran rilis terbaru memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-1786, ditemukan bug use-after-free di subsistem io_uring kernel Linux. Jika pengguna menyiapkan ring dengan IORING_SETUP_IOPOLL dengan lebih dari satu tugas yang menyelesaikan pengiriman di ring, pengguna lokal dapat mengalami error atau mengeskalasi hak istimewanya di sistem.

    Tinggi

    GKE on VMware

    Diperbarui: 14-07-2022

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Pembaruan 21-07-2022: Versi GKE berikut di VMware berisi kode yang memperbaiki kerentanan ini.

    COS
    • 1.10.5 atau yang lebih baru
    • 1.11.2 atau yang lebih baru
    • 1.12.0 atau yang lebih baru

    Ubuntu

    Anda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak menggunakan versi kernel Linux yang terpengaruh.

    Tidak ada

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE on AWS tidak menggunakan versi kernel Linux yang terpengaruh.

    Tidak ada

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak menggunakan versi kernel Linux yang terpengaruh.

    Tidak ada

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan

    Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh CVE ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-016

    Dipublikasikan: 23-06-2022
    Diperbarui: 22-11-2022
    Referensi: CVE-2022-29581, CVE-2022-29582, CVE-2022-1116
    Pembaruan 22-11-2022: Menambahkan informasi tentang beban kerja yang berjalan di cluster Autopilot.
    Update 29-07-2022: Versi yang diperbarui untuk GKE di VMware, GKE di AWS, dan GKE di Azure.

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keparahan

    Update 22-11-2022: Cluster Autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116.


    Pembaruan 29-07-2022: Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini.


    Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Semua cluster Linux (Container-Optimized OS dan Ubuntu) akan terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk Container-Optimized OS dan Ubuntu untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • Container-Optimized OS:
      • 1.19.16-gke.13800
      • 1.20.15-gke.8000
      • 1.21.12-gke.1500
      • 1.22.9-gke.1300
      • 1.23.6-gke.1500
      • 1.24.1-gke.1400
    • Ubuntu:
      • 1.20.15-gke.9600
      • 1.21.13-gke.900
      • 1.22.10-gke.600
      • 1.23.7-gke.1400
      • 1.24.1-gke.1400

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengupgrade node ke versi yang di-patch sebelum versi tersebut menjadi default di saluran rilis yang dipilih.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasi hak istimewa ke root.

    Tinggi

    GKE on VMware

    Diperbarui: 29-07-2022

    Deskripsi Keparahan

    Pembaruan 29-07-2022: Versi GKE berikut di VMware berisi kode yang memperbaiki kerentanan ini.

    • 1.9.7 atau yang lebih baru
    • 1.10.5 atau yang lebih baru
    • 1.11.2 atau yang lebih baru
    • 1.12.0 atau yang lebih baru


    Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Kerentanan ini memengaruhi GKE di VMware v1.9 dan yang lebih baru untuk image Container-Optimized OS dan Ubuntu.

    Apa yang harus saya lakukan?

    Versi GKE di VMware yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di VMware tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasi hak istimewa ke root.

    Tinggi

    GKE on AWS

    Diperbarui: 29-07-2022

    Deskripsi Keparahan

    Pembaruan 29-07-2022: Pembaruan: Versi GKE generasi saat ini dan sebelumnya di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut:

    Generasi saat ini:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900
    Generasi sebelumnya:
    • 1.23.7-gke.1500
    • 1.22.10-gke.1500
    • 1.21.13-gke.1600

    Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Kerentanan ini memengaruhi semua versi GKE di AWS.

    Apa yang harus saya lakukan?

    Versi GKE di AWS yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di AWS tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasi hak istimewa ke root.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Pembaruan 29-07-2022: Pembaruan: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di Azure berikut:

    • 1.23.7-gke.1300
    • 1.22.10-gke.1500
    • 1.21.11-gke.1900


    Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node. Kerentanan ini memengaruhi semua versi GKE di Azure.

    Apa yang harus saya lakukan?

    Versi GKE on Azure yang berisi patch akan segera dirilis. Buletin keamanan ini akan diperbarui saat versi GKE di Azure tersedia untuk didownload.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Dengan CVE-2022-29582, kernel Linux dalam versi sebelum 5.17.3 memiliki use-after-free karena kondisi race dalam waktu tunggu io_uring.

    CVE-2022-29581 dan CVE-2022-1116 adalah kerentanan yang memungkinkan penyerang lokal menyebabkan kerusakan memori di io_uring atau net/sched di kernel Linux untuk mengeskalasi hak istimewa ke root.

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan

    Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna tanpa hak istimewa dengan akses lokal ke cluster untuk mencapai pemisahan penampung penuh ke root di node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini karena tidak memaketkan sistem operasi dalam distribusinya.

    Tidak ada

    GCP-2022-014

    Dipublikasikan: 26-04-2022
    Diperbarui: 22-11-2022
    Pembaruan 22-11-2022: Menambahkan informasi tentang beban kerja yang berjalan di cluster Autopilot.
    Update 12-05-2022: Memperbarui versi patch untuk GKE di AWS dan GKE di Azure.
    Referensi: CVE-2022-1055, CVE-2022-27666

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keparahan

    Pembaruan 22-11-2022: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh oleh kerentanan ini.


    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Pada CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam penampung mengeskalasikan hak istimewa ke root di node.

    Pada CVE-2022-27666, overflow buffering di esp/esp6_output_head memungkinkan penyerang lokal dalam penampung untuk mengeskalasikan hak istimewa ke root di node.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE mendatang berikut:

    • 1.19.16-gke.11000 dan yang lebih baru
    • 1.20.15-gke.5200 dan yang lebih baru
    • 1.21.11-gke.1100 dan yang lebih baru
    • 1.22.8-gke.200 dan yang lebih baru
    • 1.23.5-gke.1500 dan yang lebih baru

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Pada CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam penampung mengeskalasikan hak istimewa ke root di node.

    Pada CVE-2022-27666, overflow buffering di esp/esp6_output_head memungkinkan penyerang lokal dalam penampung untuk mengeskalasikan hak istimewa ke root di node.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang di-patch. Versi GKE berikut di VMware atau yang lebih baru berisi perbaikan untuk kerentanan ini:

    • 1.9.6 (mendatang)
    • 1.10.3
    • 1.11.0 (mendatang)

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE on AWS

    Diperbarui: 12-05-2022

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Pada CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam penampung mengeskalasikan hak istimewa ke root di node.

    Pada CVE-2022-27666, overflow buffering di esp/esp6_output_head memungkinkan penyerang lokal dalam penampung untuk mengeskalasikan hak istimewa ke root di node.

    Apa yang harus saya lakukan?

    Pembaruan 12-05-2022: Versi GKE di AWS generasi saat ini dan sebelumnya berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut:

    Generasi saat ini
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Generasi sebelumnya
    • 1.20.15-gke.5200
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE on Azure

    Diperbarui: 12-05-2022

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Pada CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam penampung mengeskalasikan hak istimewa ke root di node.

    Pada CVE-2022-27666, overflow buffering di esp/esp6_output_head memungkinkan penyerang lokal dalam penampung untuk mengeskalasikan hak istimewa ke root di node.

    Apa yang harus saya lakukan?

    Update 12-05-2022: Versi GKE on Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di Azure berikut:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    Upgrade cluster Anda ke versi yang di-patch. Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap masalah dapat menyebabkan penyerang lokal dapat melakukan container breakout, eskalasi akses di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu).

    Detail teknis

    Pada CVE-2022-1055, penyerang dapat mengeksploitasi use-after-free di tc_new_tfilter() yang memungkinkan penyerang lokal dalam penampung mengeskalasikan hak istimewa ke root di node.

    Pada CVE-2022-27666, overflow buffering di esp/esp6_output_head memungkinkan penyerang lokal dalam penampung untuk mengeskalasikan hak istimewa ke root di node.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual for Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan diupdate ke versi yang berisi perbaikan untuk CVE-2022-1055 dan CVE-2022-27666.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GCP-2022-013

    Dipublikasikan: 11-04-2022
    Diperbarui: 20-04-2022
    Referensi: CVE-2022-23648
    Update 22-04-2022: Memperbarui versi patch untuk Google Distributed Cloud Virtual for Bare Metal dan GKE di VMware.

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host.

    Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu) yang menggunakan containerd secara default. Semua node GKE, Autopilot, dan GKE Sandbox terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node secara manual ke salah satu versi GKE berikut:

    • 1.19.16-gke.9400
    • 1.20.15-gke.3600
    • 1.21.10-gke.1500
    • 1.22.7-gke.1500
    • 1.23.4-gke.1500

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari channel. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu.

    Sedang

    GKE on VMware

    Diperbarui: 22-04-2022

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host.

    Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua GKE di VMware dengan stackdriver yang diaktifkan, yang menggunakan containerd. GKE on VMware versi 1.8, 1.9, dan 1.10 terpengaruh

    Apa yang harus saya lakukan?

    Pembaruan 22-04-2022: Versi GKE berikut di VMware berisi kode yang memperbaiki kerentanan ini.

    • 1.9.5 atau yang lebih baru
    • 1.10.3 atau yang lebih baru
    • 1.11.0 atau yang lebih baru

    Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di VMware berikut:

    • 1.8.8 atau yang lebih baru
    • 1.9.5 atau yang lebih baru
    • 1.10.2 atau yang lebih baru

    CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

    Sedang

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host.

    Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Semua versi GKE on AWS terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi GKE di AWS berikut.

    GKE di AWS (generasi saat ini)
    • Versi 1.22: 1.22.8-gke.200
    • Versi 1.21: 1.21.11-gke.100
    GKE di AWS (generasi sebelumnya)
    • Versi 1.22: 1.22.8-gke.300
    • Versi 1.21: 1.21.11-gke.100
    • Versi 1.20: 1.20.15-gke.2200

    CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

    Sedang

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host.

    Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Semua versi GKE on Azure terpengaruh.

    Apa yang harus saya lakukan?

    Versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda sebagai berikut:

    • Versi 1.22: 1.22.8-gke.200
    • Versi 1.21: 1.21.11-gke.100

    CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

    Sedang

    Google Distributed Cloud Virtual untuk Bare Metal

    Diperbarui: 22-04-2022

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan containerd terhadap traversal jalur dalam spesifikasi volume image OCI. Container yang diluncurkan melalui penerapan CRI containerd dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke file dan direktori arbitrer di host.

    Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan penampung (termasuk Kebijakan Keamanan Pod Kubernetes). Kerentanan ini memengaruhi semua Google Distributed Cloud Virtual for Bare Metal yang menggunakan containerd. Google Distributed Cloud Virtual untuk Bare Metal versi 1.8, 1.9, dan 1.10 terpengaruh

    Apa yang harus saya lakukan?

    Pembaruan 22-04-2022: Versi Google Distributed Cloud Virtual untuk Bare Metal berikut berisi kode yang memperbaiki kerentanan ini.

    • 1.8.9 atau yang lebih baru
    • 1.9.6 atau yang lebih baru
    • 1.10.3 atau yang lebih baru
    • 1.11.0 atau yang lebih baru

    Versi Google Distributed Cloud Virtual untuk Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade node Anda ke salah satu versi Google Distributed Cloud Virtual for Bare Metal berikut:

    • 1.8.8 atau yang lebih baru
    • 1.9.5 atau yang lebih baru
    • 1.10.2 atau yang lebih baru

    CVE ini dapat dimitigasi dengan menetapkan IgnoreImageDefinedVolumes ke true.

    Sedang

    GCP-2022-012

    Dipublikasikan: 07-04-2022
    Diperbarui: 22-11-2022
    Referensi: CVE-2022-0847
    Update 22-11-2022: Memperbarui informasi tentang workload yang menggunakan GKE Sandbox.

    GKE

    Diperbarui: 22-11-2022

    Deskripsi Keparahan

    Update 22-11-2022: Workload yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.


    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa penampung ke root. Kerentanan ini memengaruhi semua versi node pool GKE v1.22 dan yang lebih baru yang menggunakan image Container-Optimized OS (Container-Optimized OS 93 dan yang lebih baru). Node pool GKE yang menggunakan OS Ubuntu tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade node pool secara manual ke salah satu versi GKE berikut:

    • 1.22.7-gke.1500 dan yang lebih baru
    • 1.23.4-gke.1600 dan yang lebih baru

    Fitur terbaru saluran rilis memungkinkan Anda menerapkan versi patch dari saluran rilis lain tanpa harus berhenti berlangganan dari saluran. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran khusus rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan di kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flags" dari struktur buffering pipa baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kekurangan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan mengeskalasi hak istimewanya.

    Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam versi node pool GKE yang telah diupdate.

    Tinggi

    GKE on VMware

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi GKE di VMware v1.10 untuk image Container-Optimized OS. Saat ini, GKE di VMware dengan Ubuntu menggunakan kernel versi 5.4 dan tidak rentan terhadap serangan ini.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna Anda ke versi GKE di VMware berikut:

    • 1.10.3

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan di kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flags" dari struktur buffering pipa baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kekurangan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan mengeskalasi hak istimewanya.

    Versi baru Container-Optimized OS yang memperbaiki masalah ini telah diintegrasikan ke dalam versi GKE yang diupdate di VMware.

    Tinggi

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root.

    Kerentanan ini memengaruhi cluster terkelola GKE di AWS v1.21 dan cluster yang berjalan di GKE di AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini.

    Untuk GKE terkelola di AWS, sebaiknya upgrade cluster pengguna dan nodepool Anda ke salah satu versi berikut:

    • 1.21.11-gke.100

    Untuk GKE k-lite di AWS, sebaiknya upgrade objek AWSManagementService, AWSCluster, dan AWSNodePool ke versi berikut:

    • 1.21.11-gke.100
    • 1.20.15-gke.2200

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan di kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flags" dari struktur buffering pipa baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kekurangan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan mengeskalasi hak istimewanya.

    Tinggi

    GKE on Azure

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root. Kerentanan ini memengaruhi cluster terkelola GKE di Azure v1.21 yang menggunakan Ubuntu.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster pengguna dan nodepool ke versi berikut:

    • 1.21.11-gke.100

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0847 berkaitan dengan flag PIPE_BUF_FLAG_CAN_MERGE yang diperkenalkan di kernel Linux versi 5.8. Dalam kerentanan ini, anggota "flags" dari struktur buffering pipa baru tidak memiliki inisialisasi yang tepat di kernel Linux. Penyerang lokal yang tidak memiliki hak istimewa dapat menggunakan kekurangan ini untuk menulis ke halaman dalam cache halaman yang didukung oleh file hanya baca dan mengeskalasi hak istimewanya.

    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa ke root.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Google Distributed Cloud Virtual for Bare Metal tidak terpengaruh oleh CVE ini karena tidak menyertakan Linux sebagai bagian dari paketnya. Anda harus memastikan bahwa image node yang Anda gunakan diupdate ke versi yang berisi perbaikan untuk CVE-2022-0847.

    Tinggi

    GCP-2022-011

    Dipublikasikan: 22-03-2022
    Diperbarui: 11-08-2022

    Pembaruan 11-08-2022: Menambahkan detail selengkapnya tentang efek kesalahan konfigurasi SMT.

    GKE

    Deskripsi Keparahan

    Pembaruan 11-08-2022: Menambahkan informasi selengkapnya tentang konfigurasi Multi-Threading Simultan (SMT). SMT dimaksudkan untuk dinonaktifkan, tetapi diaktifkan pada versi yang tercantum.

    Jika Anda mengaktifkan SMT secara manual untuk node pool dengan sandbox, SMT akan tetap diaktifkan secara manual meskipun ada masalah ini.


    Ada kesalahan konfigurasi pada Simultaneous Multi-Threading (SMT), yang juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Konfigurasi yang salah membuat node berpotensi terekspos terhadap serangan side channel seperti Sampling Data Mikroarsitektur (MDS) (untuk konteks selengkapnya, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:

    • 1.22.4-gke.1501
    • 1.22.6-gke.300
    • 1.23.2-gke.300
    • 1.23.3-gke.600

    Jika Anda mengaktifkan SMT untuk node pool secara manual, masalah ini tidak akan memengaruhi node dengan sandbox.

    Apa yang harus saya lakukan?

    Upgrade node Anda ke salah satu versi berikut:

    • 1.22.6-gke.1500 dan yang lebih baru
    • 1.23.3-gke.1100 dan yang lebih baru

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Node GKE Sandbox memiliki SMT yang dinonaktifkan secara default, sehingga mengurangi serangan side-channel.

    Sedang

    GCP-2022-009

    Dipublikasikan: 01-03-2022
    Diperbarui: 15-03-2022

    GKE

    Deskripsi Keparahan

    Pembaruan 15-03-2022: Menambahkan panduan hardening untuk GKE di AWS dan GKE di Azure. Menambahkan bagian tentang persistensi menggunakan webhook.


    Beberapa jalur yang tidak terduga untuk mengakses VM node di cluster GKE Autopilot dapat digunakan untuk mengeskalasi hak istimewa di cluster. Masalah ini telah diperbaiki dan Anda tidak perlu melakukan tindakan lebih lanjut. Perbaikan ini mengatasi masalah yang dilaporkan melalui Vulnerability Reward Program kami.

    Pengguna cluster GKE Standard dan GKE dapat secara opsional menerapkan kebijakan hardening serupa seperti yang dijelaskan di bawah.

    Detail teknis

    Akses host menggunakan pengecualian kebijakan pihak ketiga

    Agar Google Cloud dapat menawarkan pengelolaan node secara penuh, dan SLA tingkat Pod, Autopilot GKE membatasi beberapa primitif Kubernetes dengan hak istimewa tinggi untuk membatasi workload agar tidak memiliki akses level rendah ke VM node. Untuk menetapkan konteks ini: GKE Standard memberikan akses penuh ke komputasi yang mendasarinya, Autopilot memberikan akses terbatas, dan Cloud Run tidak memberikan akses.

    Autopilot melonggarkan beberapa batasan tersebut untuk daftar alat pihak ketiga yang telah ditentukan sebelumnya agar pelanggan dapat menjalankan alat tersebut di Autopilot tanpa modifikasi. Dengan menggunakan hak istimewa untuk membuat pod dengan pemasangan jalur host, peneliti dapat menjalankan penampung dengan hak istimewa di pod yang terlihat seperti salah satu alat pihak ketiga yang diizinkan untuk mendapatkan akses ke host.

    Kemampuan untuk menjadwalkan pod dengan cara ini diharapkan di GKE Standard, tetapi tidak di GKE Autopilot, karena mengabaikan batasan akses host yang digunakan untuk mengaktifkan SLA yang dijelaskan sebelumnya.

    Masalah ini telah diperbaiki dengan memperketat spesifikasi pod yang diizinkan pihak ketiga.

    Eskalasi akses dari root-on-node

    Selain akses host, pod stackdriver-metadata-agent-cluster-level dan metrics-server diidentifikasi sebagai memiliki hak istimewa yang tinggi. Setelah mendapatkan akses tingkat root ke node, layanan ini dapat digunakan untuk mendapatkan kontrol lebih lanjut atas cluster.

    Kami telah menghentikan penggunaan dan menghapus stackdriver-metadata-agent untuk GKE Standard dan Autopilot. Komponen ini masih digunakan di GKE di VMware dan Google Distributed Cloud Virtual untuk Bare Metal.

    Sebagai langkah hardening sistem untuk mencegah jenis serangan ini di masa mendatang, kami akan menerapkan batasan Autopilot dalam rilis mendatang yang mencegah update pada akun layanan berbagai objek di namespace kube-system. Kami mengembangkan kebijakan Gatekeeper agar Anda dapat menerapkan perlindungan serupa ke cluster GKE Standard dan cluster GKE untuk mencegah modifikasi mandiri workload dengan hak istimewa. Kebijakan ini diterapkan secara otomatis untuk cluster Autopilot. Untuk petunjuknya, lihat panduan hardening berikut:


    Penambahan 15-03-2022: Persistensi menggunakan webhook yang mengubah

    Webhook yang diubah digunakan dalam laporan untuk mendapatkan akses dengan hak istimewa di cluster setelah terjadi kompromi. Ini adalah bagian standar dari Kubernetes API yang dibuat oleh admin cluster, dan ditampilkan kepada administrator saat Autopilot menambahkan dukungan untuk webhook yang ditentukan pelanggan.


    Akun layanan dengan hak istimewa di namespace default

    Penegakan kebijakan Autopilot sebelumnya mengizinkan dua akun layanan di namespace default: csi-attacher dan otelsvc untuk memberi akun layanan hak istimewa khusus. Penyerang dengan hak istimewa tinggi, termasuk izin untuk membuat objek ClusterRoleBinding dan dengan akses untuk membuat pod di namespace default, dapat menggunakan nama akun layanan ini untuk mengakses hak istimewa tambahan tersebut. Layanan ini dipindahkan ke dalam namespace kube-system untuk mendapatkan perlindungan kebijakan Autopilot yang ada. Cluster GKE Standard dan cluster GKE tidak terpengaruh.

    Apa yang harus saya lakukan?

    Kebijakan semua cluster GKE Autopilot telah diperbarui untuk menghapus akses host yang tidak diinginkan dan tidak diperlukan tindakan lebih lanjut.

    Hardening kebijakan lebih lanjut akan diterapkan ke Autopilot dalam beberapa minggu mendatang sebagai perlindungan sekunder. Anda tidak perlu melakukan tindakan apa pun.

    Cluster GKE Standard dan cluster GKE tidak terpengaruh karena pengguna sudah memiliki akses ke host. Sebagai tindakan hardening sistem, pengguna cluster GKE Standard dan cluster GKE dapat menerapkan perlindungan serupa dengan kebijakan Gatekeeper yang mencegah modifikasi mandiri workload dengan hak istimewa. Untuk petunjuknya, lihat panduan hardening berikut:

    Rendah

    GCP-2022-008



    CVE-2022-23606CVE-2022-21655CVE-2021-43826CVE-2021-43825CVE-2021-43824CVE-2022-21654CVE-2022-21657CVE-2022-21656

    GKE

    Deskripsi Keparahan
    Project Envoy baru-baru ini menemukan serangkaian kerentanan, CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654, CVE-2022-21657, dan CVE-2022-21656 yang dapat memengaruhi cluster GKE yang menggunakan Anthos Service Mesh, Istio-on-GKE, atau deployment Istio kustom.
    Semua masalah yang tercantum di bawah telah diperbaiki dalam rilis Envoy 1.21.1.
    Latar Belakang Teknis
    Detail tambahan untuk kerentanan ini tersedia di sini.

    Apa yang harus saya lakukan?

    Cluster GKE yang menjalankan Anthos Service Mesh harus diupgrade ke versi yang didukung dengan perbaikan pada kerentanan di atas
    • Jika Anda menggunakan Anthos Service Mesh 1.12, upgrade ke v1.12.4-asm.0.
    • Jika Anda menggunakan Anthos Service Mesh 1.11, upgrade ke v1.11.7-asm.1.
    • Jika Anda menggunakan Anthos Service Mesh 1.10, upgrade ke v1.10.6-asm.1.
    Jika Anda menggunakan Anthos Service Mesh v1.9 atau yang lebih lama, rilis Anda telah mencapai akhir masa pakai dan tidak lagi didukung. Perbaikan CVE ini belum di-backport. Anda harus mengupgrade ke ASM 1.10 atau yang lebih baru.

    Cluster GKE yang menjalankan Istio-on-GKE harus diupgrade ke versi yang didukung dengan perbaikan pada kerentanan di atas
    • Jika Anda menggunakan Istio-on-GKE 1.6, upgrade ke v1.6.14-gke.8.
    • Jika Anda menggunakan Istio-on-GKE 1.4.11, upgrade ke v1.4.11-gke.4.
    • Jika Anda menggunakan Istio-on-GKE 1.4.10, upgrade ke v1.4.10-gke.23.
    • Jika Anda menggunakan GKE 1.22 atau yang lebih tinggi, gunakan Istio GKE 1.4.10. Jika tidak, gunakan Istio-on-GKE 1.4.11.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656
    Tinggi

    GKE on VMware

    Diperbarui: 28-04-2022

    Deskripsi Keparahan
    Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. GKE di VMware terpengaruh karena Envoy digunakan dengan server metrik. CVE Envoy yang kami perbaiki tercantum di bawah. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia:
    • CVE-2021-43824 (skor CVSS 6,5, Sedang): Potensi dereferensi pointer null saat menggunakan pencocokan safe_regex filter JWT.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan ekspresi reguler filter JWT.
    • CVE-2021-43825 (skor CVSS 6.1, Sedang): Use-after-free saat filter respons meningkatkan data respons, dan data yang meningkat melebihi batas buffering downstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter dekompresi.
    • CVE-2021-43826 (skor CVSS 6.1, Sedang): Use-after-free saat melakukan tunneling TCP melalui HTTP, jika downstream terputus selama pembuatan koneksi upstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter tunneling.
    • CVE-2022-21654 (skor CVSS 7,3, Tinggi): Penanganan konfigurasi yang salah memungkinkan penggunaan kembali sesi mTLS tanpa validasi ulang setelah setelan validasi berubah.
      Catatan: Semua layanan ASM/Istio-on-GKE yang menggunakan mTLS terpengaruh oleh CVE ini.
    • CVE-2022-21655 (Skor CVSS 7,5, Tinggi): Penanganan pengalihan internal ke rute dengan entri respons langsung salah.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter respons langsung.
    • CVE-2022-23606 (skor CVSS 4,4, Sedang): Kehabisan stack saat cluster dihapus melalui Layanan Penemuan Cluster.
      Catatan: ASM 1.11+ terpengaruh oleh CVE ini. ASM 1.10 dan Semua Istio-on-GKE tidak terpengaruh oleh CVE ini.
    • CVE-2022-21657 (Skor CVSS 3.1, Rendah): Envoy hingga 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena pengelakan Penggunaan Kunci yang Diperluas dan Tujuan Kepercayaan X.509.
    • CVE-2022-21656 (Skor CVSS 3.1, Rendah): Envoy hingga 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena pengelakan pencocokan subjectAltName (dan nameConstraints) X.509.

    Istio baru-baru ini merilis satu perbaikan kerentanan keamanan. Anthos di VMware terpengaruh karena Istio digunakan untuk ingress. CVE Istio yang kami perbaiki tercantum di bawah. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia:

    CVE-2022-23635 (skor CVSS 7,5, Tinggi): Istiod mengalami error saat menerima permintaan dengan header `authorization` yang dibuat khusus.


    Untuk deskripsi lengkap dan dampak CVE di atas, lihat buletin keamanan.

    Tambahan 28-04-2022: Apa yang harus saya lakukan?

    Versi GKE berikut di VMware memperbaiki kerentanan ini:

    • 1.9.5
    • 1.10.3
    • 1.11.0

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656
    Tinggi

    Google Distributed Cloud Virtual untuk Bare Metal

    Deskripsi Keparahan
    Envoy baru-baru ini merilis beberapa perbaikan kerentanan keamanan. Anthos di Bare metal terpengaruh karena Envoy digunakan untuk server metrik. CVE Envoy yang kami perbaiki dalam rilis 1.10.3, 1.9.6, dan 1.8.9 tercantum di bawah:
    • CVE-2021-43824 (skor CVSS 6,5, Sedang): Kemungkinan dereferensi pointer null saat menggunakan pencocokan safe_regex filter JWT.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan ekspresi reguler filter JWT.
    • CVE-2021-43825 (skor CVSS 6.1, Sedang): Use-after-free saat filter respons meningkatkan data respons, dan data yang meningkat melebihi batas buffering downstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter dekompresi.
    • CVE-2021-43826 (skor CVSS 6.1, Sedang): Use-after-free saat melakukan tunneling TCP melalui HTTP, jika downstream terputus selama pembentukan koneksi upstream.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter tunneling.
    • CVE-2022-21654 (Skor CVSS 7,3, Tinggi): Penanganan konfigurasi yang salah memungkinkan penggunaan kembali sesi mTLS tanpa validasi ulang setelah setelan validasi berubah.
      Catatan: Semua layanan ASM/Istio-on-GKE yang menggunakan mTLS terpengaruh oleh CVE ini.
    • CVE-2022-21655 (Skor CVSS 7,5, Tinggi): Penanganan pengalihan internal ke rute dengan entri respons langsung salah.
      Catatan: Meskipun ASM/Istio-on-GKE tidak mendukung filter Envoy, Anda dapat terpengaruh jika menggunakan filter respons langsung.
    • CVE-2022-23606 (skor CVSS 4,4, Sedang): Kehabisan stack saat cluster dihapus melalui Layanan Penemuan Cluster.
      Catatan: ASM 1.11+ terpengaruh oleh CVE ini. ASM 1.10 dan Semua Istio-on-GKE tidak terpengaruh oleh CVE ini.
    • CVE-2022-21657 (Skor CVSS 3.1, Rendah): Envoy hingga 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena pengelakan Penggunaan Kunci yang Diperluas dan Tujuan Kepercayaan X.509.
    • CVE-2022-21656 (Skor CVSS 3.1, Rendah): Envoy hingga 1.20.1 berisi kerentanan yang dapat dieksploitasi dari jarak jauh karena pengelakan pencocokan subjectAltName (dan nameConstraints) X.509.
    Istio baru-baru ini merilis satu perbaikan kerentanan keamanan. Anthos di Bare metal terpengaruh karena Istio digunakan untuk ingress. CVE Istio yang kami perbaiki dalam rilis 1.10.3, 1.9.6, dan 1.8.9 tercantum di bawah:

    • CVE-2022-23635 (skor CVSS 7,5, Tinggi): Istiod mengalami error saat menerima permintaan dengan header `authorization` yang dibuat khusus.
      Catatan: Semua ASM/Istio-on-GKE terpengaruh oleh CVE ini.

    Untuk deskripsi lengkap dan dampak CVE di atas, lihat buletin keamanan.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-23606, CVE-2022-21655, CVE-2021-43826, CVE-2021-43825, CVE-2021-43824, CVE-2022-21654CVE-2022-21657CVE-2022-21656
    Tinggi

    GCP-2022-006

    Dipublikasikan: 14-02-2022
    Diperbarui: 16-05-2022
    Pembaruan 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini.
    Pembaruan 12-05-2022: Memperbarui versi patch untuk GKE, Google Distributed Cloud Virtual untuk Bare Metal, GKE di VMware, dan GKE di AWS. Memperbaiki masalah saat buletin keamanan untuk GKE di AWS tidak ditampilkan saat ditambahkan pada 23-02-2022.

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0492, telah ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna tanpa hak istimewa dan dalam keadaan tertentu, kerentanan ini dapat dieksploitasi untuk keluar dari penampung.

    Apa yang harus saya lakukan?

    Pembaruan 16-05-2022: Selain versi GKE yang disebutkan dalam pembaruan 12-05-2022, GKE versi 1.19.16-gke.7800 atau yang lebih baru juga berisi kode yang memperbaiki kerentanan ini.


    Pembaruan 12-05-2022: Versi GKE berikut berisi kode yang memperbaiki kerentanan ini:

    • 1.20.15-gke.5600 atau yang lebih baru
    • 1.21.11-gke.1500 atau yang lebih baru
    • 1.22.8-gke.1800 atau yang lebih baru
    • 1.23.5-gke.1800 atau yang lebih baru

    Pembaruan 15-02-2022: Pernyataan gVisor telah diperbaiki.

    Kerentanan ditemukan di cgroup_release_agent_write kernel Linux dalam fungsi kernel/cgroup/cgroup-v1.c dan dapat digunakan sebagai pemisahan penampung. GKE tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu dan COS. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan batasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau penampung, misalnya dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan. Selain profil AppArmor default, fitur ini juga melindungi dari kerentanan:

    • GKE Autopilot tidak terpengaruh karena profil seccomp default.
    • Update 15-02-2022: gVisor (GKE Sandbox) tidak terpengaruh karena gVisor tidak mengizinkan akses ke panggilan sistem yang rentan di host.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0492, telah ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna tanpa hak istimewa dan dalam keadaan tertentu, kerentanan ini dapat dieksploitasi untuk keluar dari penampung.

    Apa yang harus saya lakukan?

    Pembaruan 12-05-2022: Versi GKE di VMware berikut berisi kode yang memperbaiki kerentanan ini.

    COS
    • 1.8.8 atau yang lebih baru
    • 1.9.5 atau yang lebih baru
    • 1.10.2 atau yang lebih baru
    • 1.11.0 atau yang lebih baru
    Ubuntu
    • 1.9.6 atau yang lebih baru
    • 1.10.3 atau yang lebih baru
    • 1.11.0 atau yang lebih baru

    Kerentanan ditemukan di cgroup_release_agent_write kernel Linux dalam fungsi kernel/cgroup/cgroup-v1.c dan dapat digunakan sebagai breakout penampung. GKE di VMware tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu dan COS. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan pembatasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau penampung, misalnya dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    GKE on AWS

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0492, telah ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna tanpa hak istimewa dan dalam keadaan tertentu, kerentanan ini dapat dieksploitasi untuk keluar dari penampung.

    Apa yang harus saya lakukan?

    Pembaruan 12-05-2022: Versi GKE generasi saat ini dan sebelumnya di AWS berikut berisi kode yang memperbaiki kerentanan ini:

    Generasi saat ini
    • 1.21.11-gke.1100
    • 1.22.8-gke.1300
    Generasi sebelumnya
    • 1.22.8-gke.1300
    • 1.21.11-gke.1100
    • 1.20.15-gke.5200

    Pembaruan 23-02-2022: Menambahkan catatan untuk GKE di AWS.

    GKE di AWS generasi sebelumnya dan saat ini tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan pembatasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau penampung, misalnya, dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    GKE Enterprise aktif

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2022-0492, telah ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna tanpa hak istimewa dan dalam keadaan tertentu, kerentanan ini dapat dieksploitasi untuk keluar dari penampung.

    Apa yang harus saya lakukan?

    Pembaruan 12-05-2022: Versi GKE berikut di Azure berisi kode yang memperbaiki kerentanan ini:

    • 1.21.11-gke.1100
    • 1.22.8-gke.1300

    GKE on Azure tidak terpengaruh karena perlindungan dari profil AppArmor default di Ubuntu. Namun, beberapa pelanggan mungkin masih rentan jika mereka telah melonggarkan batasan keamanan pada pod melalui modifikasi kolom securityContext Pod atau penampung, misalnya, dengan menonaktifkan/mengubah profil AppArmor, yang tidak direkomendasikan.

    Patch akan tersedia dalam rilis mendatang. Buletin ini akan diperbarui saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2022-0492

    Rendah

    GCP-2022-005

    Dipublikasikan: 11-02-2022
    Diperbarui: 15-02-2022
    Referensi: CVE-2021-43527

    GKE

    Deskripsi Keparahan
    Pembaruan 15-02-2022: Beberapa versi GKE yang disebutkan dalam buletin asli digabungkan dengan perbaikan lainnya dan nomor versinya bertambah sebelum dirilis. Patch tersedia di versi GKE berikut:
    • 1.20.15-gke.300
    • 1.21.9-gke.300
    • 1.22.6-gke.1000

    Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang ditautkan ke versi libnss3 yang rentan yang ditemukan dalam versi NSS (Network Security Services) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Image GKE COS dan Ubuntu telah menginstal versi yang rentan, dan perlu di-patch.

    Secara potensial, CVE-2021-43527 dapat memiliki dampak yang luas di seluruh aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Selain itu, aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh. Dampaknya bergantung pada cara NSS digunakan/dikonfigurasi.

    GKE tidak menggunakan libnss3 untuk API apa pun yang dapat diakses melalui internet. Dampaknya terbatas pada kode di host yang berjalan di luar penampung, yang kecil karena desain Chrome OS yang minimal. Kode GKE yang berjalan di dalam container menggunakan image dasar distroless golang tidak terpengaruh.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade bidang kontrol dan node Anda ke salah satu versi GKE berikut:

    • Versi 1.18 akan ditentukan
    • 1.19.16-gke.6100
    • 1.20.15-gke.200
    • 1.21.9-gke.200
    • 1.22.6-gke.600
    • 1.23.3-gke.500
    Apakah Anda menggunakan versi GKE yang lebih lama dari 1.18? Anda menggunakan versi GKE di luar SLA dan sebaiknya mempertimbangkan untuk mengupgrade ke salah satu versi yang didukung.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-43527

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang ditautkan ke versi libnss3 yang rentan yang ditemukan dalam versi NSS (Network Security Services) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara aplikasi tersebut mengonfigurasi NSS. Image GKE di VMware COS dan Ubuntu telah menginstal versi yang rentan, dan perlu di-patch.

    Secara potensial, CVE-2021-43527 dapat memiliki dampak yang luas pada aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS \#7, atau PKCS \#12. Selain itu, aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh. Dampaknya bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Anthos di VMware tidak menggunakan libnss3 untuk API apa pun yang dapat diakses secara publik, sehingga dampaknya terbatas dan tingkat keparahan CVE ini untuk GKE di VMware diberi rating Sedang.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi Anthos berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade bidang kontrol dan node Anda ke salah satu versi Anthos berikut:

    • 1.8.7
    • 1.9.4
    • 1.10.2

    Apakah Anda menggunakan GKE on VMware versi yang lebih lama dari 1.18? Anda menggunakan versi Anthos di luar SLA dan sebaiknya mempertimbangkan untuk mengupgrade ke salah satu versi yang didukung.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-43527

    Sedang

    GKE Enterprise aktif

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang ditautkan ke versi libnss3 yang rentan yang ditemukan dalam versi NSS (Network Security Services) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi. Cluster Anthos di image Ubuntu Azure telah menginstal versi yang rentan, dan perlu di-patch.

    Secara potensial, CVE-2021-43527 dapat memiliki dampak yang luas pada aplikasi yang menggunakan NSS untuk menangani tanda tangan yang dienkode dalam CMS, S/MIME, PKCS#7, atau PKCS#12. Selain itu, aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh. Dampaknya bergantung pada cara mereka mengonfigurasi/menggunakan NSS. Cluster Anthos di Azure tidak menggunakan libnss3 untuk API apa pun yang dapat diakses secara publik, sehingga dampaknya terbatas dan tingkat keparahan CVE ini untuk Anthos di Azure diberi rating Sedang.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi Anthos di Azure berikut:

    • v1.21.6-gke.1500

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-43527

    Sedang

    GCP-2022-004

    Dipublikasikan: 04-02-2022
    Referensi: CVE-2021-4034

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket policy kit Linux (polkit), yang memungkinkan pengguna yang diautentikasi untuk melakukan serangan eskalasi hak istimewa. PolicyKit umumnya hanya digunakan di sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., sebagaimana diatur oleh kebijakan.

    Apa yang harus saya lakukan?

    GKE tidak terpengaruh karena modul yang rentan, policykit-1, tidak diinstal di image COS atau Ubuntu yang digunakan di GKE. Anda tidak perlu melakukan tindakan apa pun.

    Tidak ada

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket policy kit Linux (polkit), yang memungkinkan pengguna yang diautentikasi untuk melakukan serangan eskalasi hak istimewa. PolicyKit umumnya hanya digunakan di sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., sebagaimana diatur oleh kebijakan.

    Konfigurasi default GKE Enterprise sudah memberi pengguna hak istimewa "sudo" penuh, sehingga eksploitasi ini tidak mengubah postur keamanan GKE Enterprise yang ada

    Detail teknis

    Agar bug ini dapat dieksploitasi, penyerang memerlukan shell non-root di sistem file node dan menginstal pkexec versi yang rentan. Meskipun GKE di VMware menyertakan versi policykit-1 dalam image rilisnya, konfigurasi default GKE Enterprise mengizinkan sudo tanpa sandi kepada siapa saja yang sudah memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna lebih banyak hak istimewa daripada yang sudah mereka miliki.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di VMware tidak terpengaruh.

    Tidak ada

    Cluster GKE di

    Deskripsi Keparahan
    GKE di AWS tidak terpengaruh. Modul yang rentan, policykit-1, tidak diinstal di image Ubuntu yang digunakan oleh GKE versi saat ini dan sebelumnya di AWS. Tidak ada

    GKE Enterprise aktif

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, bagian dari paket policy kit Linux (polkit), yang memungkinkan pengguna yang diautentikasi untuk melakukan serangan eskalasi hak istimewa. PolicyKit umumnya hanya digunakan di sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., sebagaimana diatur oleh kebijakan.

    Konfigurasi default GKE Enterprise sudah memberi pengguna hak istimewa "sudo" penuh, sehingga eksploitasi ini tidak mengubah postur keamanan GKE Enterprise yang ada

    Detail teknis

    Agar bug ini dapat dieksploitasi, penyerang memerlukan shell non-root di sistem file node dan menginstal pkexec versi yang rentan. Meskipun GKE di Azure menyertakan versi policykit-1 dalam image rilisnya, konfigurasi default GKE Enterprise mengizinkan sudo tanpa sandi kepada siapa saja yang sudah memiliki akses shell, sehingga kerentanan ini tidak memberi pengguna lebih banyak hak istimewa daripada yang sudah mereka miliki.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. GKE di Azure tidak terpengaruh.

    Tidak ada

    Cluster GKE di

    Deskripsi Keparahan
    Google Distributed Cloud Virtual untuk Bare Metal mungkin terpengaruh, bergantung pada paket yang diinstal di sistem operasi yang dikelola pelanggan. Pindai image OS Anda dan terapkan patch jika perlu. Tidak ada

    GCP-2022-002

    Dipublikasikan: 01-02-2022
    Diperbarui: 07-03-2022
    Referensi:
    CVE-2021-4154, CVE-2021-22600, CVE-2022-0185
    Pembaruan 04-02-2022: Menambahkan bagian untuk GKE di AWS dan GKE di Azure. Menambahkan update peluncuran untuk GKE dan GKE di VMware.

    GKE

    Diperbarui: 07-03-2022

    Deskripsi Keparahan

    Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan breakout penampung, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini.

    Lihat catatan rilis COS untuk mengetahui detail selengkapnya.

    Detail teknis

    Pada CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem fsconfig untuk memicu bug use-after-free di kernel linux, sehingga mendapatkan hak istimewa root. Ini adalah serangan eskalasi hak istimewa lokal yang akan menyebabkan container breakout.

    CVE-2021-22600 adalah eksploit double free di packet_set_ring yang dapat menyebabkan container keluar ke node host.

    Dengan CVE-2022-0185, bug overflow heap di legacy_parse_param() dapat menyebabkan operasi tulis di luar batas yang akan menyebabkan breakout penampung.

    Jalur eksploitasi untuk kerentanan ini yang mengandalkan syscall "unshare" diblokir di cluster GKE Autopilot secara default menggunakan pemfilteran seccomp.

    Pengguna yang telah mengaktifkan profil seccomp runtime penampung default secara manual di cluster GKE Standard juga dilindungi.

    Apa yang harus saya lakukan?

    Pembaruan 07-03-2022:Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki semua kerentanan ini untuk image Ubuntu dan COS. Upgrade bidang kontrol dan node Anda ke salah satu versi GKE berikut.

    • 1.18.20-gke.6101
    • 1.19.16-gke.8300
    • 1.20.15-gke.2500
    • 1.21.10-gke.400
    • 1.22.7-gke.900
    • 1.23.3-gke.1100

    Update 25-02-2022:Jika Anda menggunakan image node Ubuntu, 1.22.6-gke.1000 tidak mengatasi CVE-2021-22600. Kami akan memperbarui buletin ini dengan versi patch Ubuntu saat tersedia.


    Pembaruan 23-02-2022: Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.

    • 1.18.20-gke.6101
    • 1.22.6-gke.1000
    • 1.23.3-gke.1100

    Pembaruan 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari.


    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE berikut.

    • 1.19.16-gke.6100
    • 1.20.15-gke.300
    • 1.21.9-gke.300

    Versi 1.22 dan 1.23 juga sedang dalam proses. Kami akan memperbarui buletin ini dengan versi tertentu saat tersedia.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    Cluster GKE di

    Diperbarui: 23-02-2022

    Deskripsi Keparahan

    Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan breakout penampung, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Lihat catatan rilis COS untuk mengetahui detail selengkapnya.

    Detail teknis

    Pada CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem fsconfig untuk memicu bug use-after-free di kernel linux, sehingga mendapatkan hak istimewa root. Ini adalah serangan eskalasi hak istimewa lokal yang akan menyebabkan container breakout.

    CVE-2021-22600 adalah eksploit double free di packet_set_ring yang dapat menyebabkan container keluar ke node host.

    Dengan CVE-2022-0185, bug overflow heap di legacy_parse_param() dapat menyebabkan operasi tulis di luar batas yang akan menyebabkan breakout penampung.

    Pengguna yang telah mengaktifkan profil seccomp runtime penampung default secara manual di cluster GKE Standard juga dilindungi.

    Apa yang harus saya lakukan?

    Update 23-02-2022: versi 1.10.2 (Memperbaiki CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185) kini dijadwalkan untuk 1 Maret.

    Update 23-02-2022: Menambahkan versi yang di-patch untuk mengatasi CVE-2021-2260.

    Versi 1.10.1 tidak mengatasi CVE-2021-22600, tetapi mengatasi kerentanan lainnya. Versi 1.9.4 dan 1.10.2, yang belum dirilis, akan mengatasi CVE-2021-22600. Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE di VMware berikut:

    • 1.10.1 (Memperbaiki CVE-2021-4154 dan CVE-2022-0185. Dirilis 10 Februari)
    • 1.8.7 (Memperbaiki CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185. Dirilis 17 Februari)
    • 1.9.4 (Memperbaiki CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185. Rilis 23 Februari)
    • 1.10.2 (Memperbaiki CVE-2021-22600, CVE-2021-4154, dan CVE-2022-0185. Dijadwalkan untuk 24 Februari)

    Update 04-02-2022: Menambahkan informasi tentang image Ubuntu yang tidak mengatasi CVE-2021-22600.

    Versi image node Linux untuk versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE di VMware berikut:

    • 1.10.1 (Khusus update COS. Patch Ubuntu akan berada di 1.10.2-dijadwalkan untuk 23 Februari)
    • 1.9.4 (dijadwalkan untuk 15 Februari)
    • 1.8.7 (dijadwalkan untuk 15 Februari)

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    Cluster GKE di

    Deskripsi Keparahan

    Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan breakout penampung, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Lihat catatan rilis COS untuk mengetahui detail selengkapnya.

    Detail teknis

    Pada CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem fsconfig untuk memicu bug use-after-free di kernel linux, sehingga mendapatkan hak istimewa root. Ini adalah serangan eskalasi hak istimewa lokal yang akan menyebabkan container breakout.

    CVE-2021-22600 adalah eksploit double free di packet_set_ring yang dapat menyebabkan container keluar ke node host.

    Dengan CVE-2022-0185, bug overflow heap di legacy_parse_param() dapat menyebabkan operasi tulis di luar batas yang akan menyebabkan breakout penampung.

    Pengguna yang telah mengaktifkan profil seccomp runtime penampung default secara manual di cluster GKE Standard juga dilindungi.

    Apa yang harus saya lakukan?

    GKE on AWS

    Versi image node Linux untuk versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi GKE di AWS berikut:

    • 1.21.6-gke.1500 dan yang lebih baru (tersedia pada bulan Februari)

    GKE di AWS (generasi sebelumnya)

    Versi image node Linux untuk versi GKE berikut di AWS (generasi sebelumnya) telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi GKE di AWS (generasi sebelumnya) berikut:

    • 1.19.16-gke.5300
    • 1.20.14-gke.2000
    • 1.21.8-gke.2000

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GKE Enterprise aktif

    Deskripsi Keparahan

    Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan breakout penampung, eskalasi hak istimewa di host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure.

    Lihat catatan rilis COS untuk mengetahui detail selengkapnya.

    Detail teknis

    Pada CVE-2021-4154, penyerang dapat mengeksploitasi parameter panggilan sistem fsconfig untuk memicu bug use-after-free di kernel linux, sehingga mendapatkan hak istimewa root. Ini adalah serangan eskalasi hak istimewa lokal yang akan menyebabkan container breakout.

    CVE-2021-22600 adalah eksploit double free di packet_set_ring yang dapat menyebabkan container keluar ke node host.

    Dengan CVE-2022-0185, bug overflow heap di legacy_parse_param() dapat menyebabkan operasi tulis di luar batas yang akan menyebabkan breakout penampung.

    Pengguna yang telah mengaktifkan profil seccomp runtime penampung default secara manual di cluster GKE Standard juga dilindungi.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut di Azure telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi GKE di Azure berikut:

    • 1.21.6-gke.1500 dan yang lebih baru (tersedia pada bulan Februari)

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Tinggi

    GCP-2021-024

    Dipublikasikan: 21-10-2021
    Referensi: CVE-2021-25742

    GKE

    Deskripsi Keparahan

    Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus mengetahui masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk mengetahui detail selengkapnya.

    Tidak ada

    Cluster GKE di

    Deskripsi Keparahan

    Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus mengetahui masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk mengetahui detail selengkapnya.

    Tidak ada

    Cluster GKE di

    Deskripsi Keparahan

    Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus mengetahui masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk mengetahui detail selengkapnya.

    Tidak ada

    Cluster GKE di

    Deskripsi Keparahan

    Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

    Apa yang harus saya lakukan?

    Masalah keamanan ini tidak memengaruhi infrastruktur cluster GKE atau infrastruktur cluster lingkungan GKE Enterprise. Jika menggunakan ingress-nginx dalam deployment workload, Anda harus mengetahui masalah keamanan ini. Lihat Masalah ingress-nginx 7837 untuk mengetahui detail selengkapnya.

    Tidak ada

    GCP-2021-019

    Dipublikasikan: 29-09-2021

    GKE

    Deskripsi Keparahan

    Ada masalah umum saat mengupdate resource BackendConfig menggunakan v1beta1 API yang menghapus kebijakan keamanan Google Cloud Armor yang aktif dari layanannya.

    Apakah saya terpengaruh?

    Jika BackendConfig telah diperbarui dengan v1beta1 API, kebijakan keamanan Google Cloud Armor Anda mungkin telah dihapus. Untuk menentukan apakah hal ini telah terjadi, jalankan perintah berikut:

    kubectl get backendconfigs -A -o json | \
    jq -r '.items[] | select(.spec.securityPolicy == {}) | .metadata | "\(.namespace)/\(.name)"'
    • Jika respons menampilkan output: cluster Anda terpengaruh oleh masalah tersebut. Output perintah ini akan menampilkan daftar resource BackendConfig (<namespace>/<name>) yang terpengaruh oleh masalah tersebut.
    • Jika output kosong: BackendConfig Anda belum diperbarui menggunakan v1beta1 API sejak masalah muncul. Setiap update mendatang pada BackendConfig hanya boleh menggunakan v1.

    Masalah ini memengaruhi versi GKE berikut:

    • 1.18.19-gke.1400 hingga 1.18.20-gke.5100 (eksklusif)
    • 1.19.10-gke.700 hingga 1.19.14-gke.300 (eksklusif)
    • 1.20.6-gke.700 hingga 1.20.9-gke.900 (eksklusif)
    • 1.21 hingga 1.21.1-gke.2700 (eksklusif)

    Jika Anda tidak mengonfigurasi Google Cloud Armor pada resource Ingress melalui BackendConfig, masalah ini tidak akan memengaruhi cluster Anda.

    Apa yang harus saya lakukan?

    Upgrade bidang kontrol GKE Anda ke salah satu versi terupdate berikut yang mem-patch masalah ini dan memungkinkan resource v1beta1 BackendConfig digunakan dengan aman:

    • 1.21.1-gke.2700 dan yang lebih baru
    • 1.20.9-gke.900 dan yang lebih baru
    • 1.19.14-gke.300 dan yang lebih baru
    • 1.18.20-gke.5100 dan yang lebih baru

    Masalah ini juga dapat dicegah dengan menghindari deployment resource v1beta1 BackendConfig. Jika Anda mengonfigurasi Google Cloud Armor pada resource Ingress melalui BackendConfig dan mendapati bahwa Anda terpengaruh melalui langkah-langkah di atas, aktifkan kembali Google Cloud Armor dengan mendorong update ke resource BackendConfig saat ini dengan versi API cloud.google.com/v1 .

    Untuk mencegah masalah ini, hanya buat update pada BackendConfig menggunakan v1 BackendConfig API.

    Karena v1 BackendConfig mendukung semua kolom yang sama seperti v1beta1 dan tidak membuat perubahan yang dapat menyebabkan gangguan, kolom API dapat diperbarui secara transparan. Untuk melakukannya, ganti kolom apiVersion dari manifes BackendConfig yang aktif dengan cloud.google.com/v1 dan jangan gunakan cloud.google.com/v1beta1.

    Contoh manifes berikut menjelaskan resource BackendConfig yang menggunakan v1API:

    apiVersion: cloud.google.com/v1
    kind: BackendConfig
    metadata:
      name: my-backend-config
    spec:
      securityPolicy:
        name: "ca-how-to-security-policy"
    

    Jika Anda memiliki sistem atau alat CI/CD yang secara rutin mengupdate resource BackendConfig, pastikan Anda menggunakan grup API cloud.google.com/v1 di sistem tersebut

    Rendah

    GCP-2021-022

    Dipublikasikan: 23-09-2021

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan telah ditemukan di modul LDAP Layanan Identitas Enterprise GKE (AIS) GKE pada VMware versi 1.8 dan 1.8.1, dengan kunci seed yang digunakan dalam pembuatan kunci dapat diprediksi. Dengan kerentanan ini, pengguna yang diautentikasi dapat menambahkan klaim arbitrer dan mengeskalasi hak istimewa tanpa batas waktu.

    Detail teknis

    Penambahan terbaru pada kode AIS membuat kunci simetris menggunakan modul math/rand golang, yang tidak cocok untuk kode sensitif keamanan. Modul ini digunakan dengan cara yang akan menghasilkan kunci yang dapat diprediksi. Selama verifikasi identitas, kunci layanan token aman (STS) dihasilkan yang kemudian dienkripsi dengan kunci simetris yang mudah diperoleh.

    Apa yang harus saya lakukan?

    Kerentanan ini hanya memengaruhi pelanggan yang menggunakan AIS di GKE pada VMware versi 1.8 dan 1.8.1. Untuk pengguna GKE di VMware 1.8, upgrade cluster Anda ke versi berikut:

    • 1.8.2
    Tinggi

    GCP-2021-021

    Dipublikasikan: 22-09-2021
    Referensi: CVE-2020-8561

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

    Detail teknis

    Dengan kerentanan ini, aktor yang mengontrol respons permintaan MutatingWebhookConfiguration atau ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna tersebut dapat melihat log kube-apiserver saat level log disetel ke 10, mereka dapat melihat header dan respons yang dialihkan dalam log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang melindungi dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver ditetapkan ke false.
    • Level log kube-apiserver ditetapkan di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    <pCVE-2020-8561

    </p
    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

    Detail teknis

    Dengan kerentanan ini, aktor yang mengontrol respons permintaan MutatingWebhookConfiguration atau ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna tersebut dapat melihat log kube-apiserver saat level log disetel ke 10, mereka dapat melihat header dan respons yang dialihkan dalam log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang melindungi dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver ditetapkan ke false.
    • Level log kube-apiserver ditetapkan di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    <pCVE-2020-8561

    </p
    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

    Detail teknis

    Dengan kerentanan ini, aktor yang mengontrol respons permintaan MutatingWebhookConfiguration atau ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna tersebut dapat melihat log kube-apiserver saat level log disetel ke 10, mereka dapat melihat header dan respons yang dialihkan dalam log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang melindungi dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver ditetapkan ke false.
    • Level log kube-apiserver ditetapkan di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    <pCVE-2020-8561

    </p
    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

    Detail teknis

    Dengan kerentanan ini, aktor yang mengontrol respons permintaan MutatingWebhookConfiguration atau ValidatingWebhookConfiguration dapat mengalihkan permintaan kube-apiserver ke jaringan pribadi server API. Jika pengguna tersebut dapat melihat log kube-apiserver saat level log disetel ke 10, mereka dapat melihat header dan respons yang dialihkan dalam log.

    Masalah ini dapat dimitigasi dengan mengubah parameter tertentu untuk server API.

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun untuk saat ini.

    Versi GKE dan GKE Enterprise yang saat ini tersedia telah menerapkan mitigasi berikut yang melindungi dari jenis serangan ini:

    • Flag --profiling untuk kube-apiserver ditetapkan ke false.
    • Level log kube-apiserver ditetapkan di bawah 10.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    <pCVE-2020-8561

    </p
    Sedang

    GCP-2021-018

    Dipublikasikan: 15-09-2021
    Diperbarui: 24-09-2021
    Referensi: CVE-2021-25741

    Pembaruan 24-09-2021: Buletin GKE on Bare Metal diperbarui dengan versi patch tambahan.

    Pembaruan 20-09-2021: Buletin ditambahkan untuk GKE on Bare Metal

    Pembaruan 16-09-2021: Buletin ditambahkan untuk GKE di VMware


    GKE

    Deskripsi Keparahan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, yang memungkinkan pengguna membuat penampung dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host.

    Detail teknis:

    Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang dipasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam penampung.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade node pool Anda ke salah satu versi berikut atau yang lebih baru untuk memanfaatkan patch terbaru:

    • 1.21.4-gke.301
    • 1.20.10-gke.301
    • 1.19.14-gke.301
    • 1.18.20-gke.4501

    Versi berikut juga berisi perbaikan:

    • 1.21.3-gke.2001
    • 1.20.8-gke.2101
    • 1.20.9-gke.701
    • 1.20.9-gke.1001
    • 1.19.12-gke.2101
    • 1.19.13-gke.701
    • 1.18.20-gke.3001
    Tinggi

    Cluster GKE di

    Deskripsi Keparahan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, yang memungkinkan pengguna membuat penampung dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host.

    Detail teknis:

    Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang dipasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam penampung.

    Apa yang harus saya lakukan?

    Diperbarui 24-09-2021: Versi yang di-patch 1.8.3 dan 1.7.4 kini tersedia.

    Diperbarui 17-09-2021: Memperbaiki daftar versi yang tersedia yang berisi patch.


    Versi GKE berikut di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:

    • 1.8.3
    • 1.8.2
    • 1.7.4
    • 1.6.5
    Tinggi

    Cluster GKE di

    Deskripsi Keparahan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, yang memungkinkan pengguna membuat penampung dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host.

    Detail teknis:

    Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang dipasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam penampung.

    Apa yang harus saya lakukan?

    Update 16-09-2021: Menambahkan daftar versi gke yang didukung untuk objek AWSCluster dan AWSNodePool.


    Versi GKE berikut di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya Anda:

    • Upgrade objek AWSManagementService, AWSCluster, dan AWSNodePool ke versi berikut:
      • 1.8.2
    • Perbarui versi gke objek AWSCluster dan AWSNodePool Anda ke salah satu versi Kubernetes yang didukung:
      • 1.17.17-gke.15800
      • 1.18.20-gke.4800
      • 1.19.14-gke.600
      • 1.20.10-gke.600
    Tinggi

    Cluster GKE di

    Deskripsi Keparahan

    Masalah keamanan ditemukan di Kubernetes, CVE-2021-25741, yang memungkinkan pengguna membuat penampung dengan pemasangan volume subjalur untuk mengakses file & direktori di luar volume, termasuk di sistem file host.

    Detail teknis:

    Pada CVE-2021-25741, penyerang dapat membuat link simbolis dari emptyDir yang dipasang ke sistem file root node ( / ), kubelet akan mengikuti symlink dan memasang root host ke dalam penampung.

    Apa yang harus saya lakukan?

    Versi GKE on Bare Metal berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster admin dan cluster pengguna Anda ke salah satu versi berikut:

    • 1.8.3
    • 1.7.4
    Tinggi

    GCP-2021-017

    Dipublikasikan: 01-09-2021
    Diperbarui: 23-09-2021
    Referensi: CVE-2021-33909
    CVE-2021-33910

    GKE

    Deskripsi Keparahan
    Pembaruan 23-09-2021:

    Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini untuk serangan yang berasal dari dalam container.


    Pembaruan 15-09-2021:

    Versi GKE berikut mengatasi kerentanan tersebut:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400

    Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna tanpa hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

    Detail teknis:

    Pada CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow bilangan bulat, Penulisan di Luar Batas, dan eskalasi ke root.
    Dengan CVE-2021-33910, systemd memiliki alokasi memori dengan nilai ukuran yang berlebihan (yang melibatkan strdupa dan alloca untuk nama jalur yang dikontrol oleh penyerang lokal) yang menyebabkan error sistem operasi.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.18.20-gke.4100
    • 1.19.13-gke.1900
    • 1.20.9-gke.1500
    • 1.21.3-gke.1400
    Tinggi

    Cluster GKE di

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna tanpa hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

    Detail teknis:

    Pada CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow bilangan bulat, Penulisan di Luar Batas, dan eskalasi ke root.
    Dengan CVE-2021-33910, systemd memiliki alokasi memori dengan nilai ukuran yang berlebihan (yang melibatkan strdupa dan alloca untuk nama jalur yang dikontrol oleh penyerang lokal) yang menyebabkan error sistem operasi.

    Apa yang harus saya lakukan?

    Versi image node Linux untuk GKE di AWS telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.20.10-gke.600
    • 1.19.14-gke.600
    • 1.18.20-gke.4800
    • 1.17.17-gke.15800
    Tinggi

    Cluster GKE di

    Deskripsi Keparahan

    Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error OS atau eskalasi ke root oleh pengguna tanpa hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

    Detail teknis:

    Pada CVE-2021-33909, lapisan sistem file kernel Linux tidak membatasi alokasi buffer seq dengan benar, yang menyebabkan overflow bilangan bulat, Penulisan di Luar Batas, dan eskalasi ke root.
    Dengan CVE-2021-33910, systemd memiliki alokasi memori dengan nilai ukuran yang berlebihan (yang melibatkan strdupa dan alloca untuk nama jalur yang dikontrol oleh penyerang lokal) yang menyebabkan error sistem operasi.

    Apa yang harus saya lakukan?

    Versi image node Linux dan COS untuk GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.9
    • 1.8.2
    • 1.7.3
    • 1.6.4 (khusus Linux)

    Lihat Histori versi--versi kernel Kubernetes dan node.

    Tinggi

    GCP-2021-015

    Dipublikasikan: 13-07-2021
    Diperbarui: 15-07-2021
    Referensi: CVE-2021-22555

    GKE

    Deskripsi Keparahan

    Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan saat pelaku berbahaya dengan hak istimewa CAP_NET_ADMIN berpotensi menyebabkan container breakout menjadi root di host. Kerentanan ini memengaruhi semua cluster GKE dan GKE di VMware yang menjalankan Linux versi 2.6.19 atau yang lebih baru.

    Detail teknis

    Dalam serangan ini, operasi tulis di luar batas di setsockopt dalam subsistem netfilter di Linux dapat memungkinkan kerusakan heap (dan oleh karena itu denial of service) dan eskalasi hak istimewa.

    Apa yang harus saya lakukan?

    Versi Linux berikut di GKE telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1.21.1-gke.2200
    • 1.20.7-gke.2200
    • 1.19.11-gke.2100
    • 1.18.20-gke.501

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-22555

    Tinggi

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan saat pelaku berbahaya dengan hak istimewa CAP_NET_ADMIN berpotensi menyebabkan container breakout menjadi root di host. Kerentanan ini memengaruhi semua cluster GKE dan GKE di VMware yang menjalankan Linux versi 2.6.19 atau yang lebih baru.

    Detail teknis

    Dalam serangan ini, operasi tulis di luar batas di setsockopt dalam subsistem netfilter di Linux dapat memungkinkan kerusakan heap (dan oleh karena itu denial of service) dan eskalasi hak istimewa.

    Apa yang harus saya lakukan?

    Versi Linux berikut di GKE di VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke salah satu versi berikut:

    • 1,8
    • 1.7.3
    • 1.6.4

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    CVE-2021-22555

    Tinggi

    GCP-2021-014

    Dipublikasikan: 05-07-2021
    Referensi: CVE-2021-34527

    GKE

    Deskripsi Keparahan

    Microsoft memublikasikan buletin keamanan tentang kerentanan Eksekusi kode jarak jauh (RCE), CVE-2021-34527, yang memengaruhi spooler pencetakan di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan update tentang kerentanan terkait, yang dijuluki "PrintNightmare" yang juga memengaruhi spooler pencetakan Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability

    Apa yang harus saya lakukan?

    Anda tidak perlu melakukan tindakan apa pun. Node Windows GKE tidak berisi layanan Spooler yang terpengaruh sebagai bagian dari image dasar, sehingga deployment Windows GKE tidak rentan terhadap serangan ini.

    Kerentanan apa yang ditangani oleh buletin ini?

    Tinggi

    GCP-2021-012

    Dipublikasikan: 01-07-2021
    Diperbarui: 09-07-2021
    Referensi: CVE-2021-34824

    GKE

    Deskripsi Keparahan

    Apa yang harus saya lakukan?

    Project Istio baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, dengan kredensial yang ditentukan di kolom credentialName Gateway dan DestinationRule dapat diakses dari namespace yang berbeda.

    Detail teknis:

    Gateway aman Istio atau beban kerja yang menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, secret dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS.

    Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam secret dalam namespace-nya. Namun, bug di istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API mengambil sertifikat TLS dan kunci pribadi yang di-cache di istiod.

    Apa yang harus saya lakukan?

    Cluster GKE tidak menjalankan Istio secara default dan, jika diaktifkan, menggunakan Istio versi 1.6, yang tidak rentan terhadap serangan ini. Jika Anda telah menginstal atau mengupgrade Istio di cluster ke Istio 1.8 atau yang lebih baru, upgrade Istio ke versi terbaru yang didukung.

    Tinggi

    Cluster GKE di

    Deskripsi Keparahan

    Apa yang harus saya lakukan?

    Project Istio baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, dengan kredensial yang ditentukan di kolom credentialName Gateway dan DestinationRule dapat diakses dari namespace yang berbeda.

    Detail teknis:

    Gateway aman Istio atau beban kerja yang menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, secret dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS.

    Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam secret dalam namespace-nya. Namun, bug di istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API mengambil sertifikat TLS dan kunci pribadi yang di-cache di istiod.

    Apa yang harus saya lakukan?

    Cluster Anthos di VMware v1.6 dan v1.7 tidak rentan terhadap serangan ini. Cluster Anthos di VMware v1.8 rentan.

    Jika Anda menggunakan cluster Anthos di VMware v1.8, upgrade ke versi yang di-patch berikut atau yang lebih baru:

    • 1.8.0-gke.25
    Tinggi

    Cluster GKE di

    Deskripsi Keparahan

    Apa yang harus saya lakukan?

    Project Istio baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-34824) yang memengaruhi Istio. Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, dengan kredensial yang ditentukan di kolom credentialName Gateway dan DestinationRule dapat diakses dari namespace yang berbeda.

    Detail teknis:

    Gateway aman Istio atau beban kerja yang menggunakan DestinationRule dapat memuat kunci pribadi dan sertifikat TLS dari secret Kubernetes melalui konfigurasi credentialName. Dari Istio 1.8 dan yang lebih baru, secret dibaca dari istiod dan disampaikan ke gateway dan workload melalui XDS.

    Biasanya, deployment gateway atau workload hanya dapat mengakses sertifikat TLS dan kunci pribadi yang disimpan dalam secret dalam namespace-nya. Namun, bug di istiod memungkinkan klien yang diberi otorisasi untuk mengakses Istio XDS API mengambil sertifikat TLS dan kunci pribadi yang di-cache di istiod. Cluster yang dibuat atau diupgrade dengan cluster Anthos on bare metal v1.8.0 terpengaruh oleh CVE ini.

    Apa yang harus saya lakukan?

    Anthos v1.6 dan 1.7 tidak rentan terhadap serangan ini. Jika Anda memiliki cluster v1.8.0, download dan instal bmctl versi 1.8.1 dan upgrade cluster Anda ke versi yang di-patch berikut:

    • 1.8.1
    Tinggi

    GCP-2021-011

    Dipublikasikan: 04-06-2021
    Diperbarui: 19-10-2021
    Referensi: CVE-2021-30465

    Pembaruan 19-10-2021: Menambahkan buletin untuk GKE di VMware, GKE di AWS, dan GKE di Bare Metal.

    GKE

    Deskripsi Keparahan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Untuk GKE, karena mengeksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai keparahan kerentanan ini sebagai SEDANG.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi perlombaan dengan memulai beberapa pod di satu node secara bersamaan, yang semuanya memiliki pemasangan volume yang sama dengan symlink.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root.

    Apa yang harus saya lakukan?

    Ada patch yang baru dirilis untuk runc (1.0.0-rc95) yang memperbaiki kerentanan ini.

    Upgrade cluster GKE Anda ke salah satu versi terupdate berikut:

    • 1.18.19-gke.2100
    • 1.19.9-gke.1400
    • 1.20.6-gke.1400
    • 1.21.2-gke.600

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Untuk GKE di VMware, karena mengeksploitasi kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai keparahan kerentanan ini sebagai SEDANG.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi perlombaan dengan memulai beberapa pod di satu node secara bersamaan, yang semuanya memiliki pemasangan volume yang sama dengan symlink.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root.

    Apa yang harus saya lakukan?

    Ada patch yang baru dirilis untuk runc yang memperbaiki kerentanan ini. Upgrade GKE Anda di VMware ke salah satu versi berikut:

    • 1.7.3-gke-2
    • 1.8.1-gke.7
    • 1.9.0-gke.8

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Karena ini adalah kerentanan tingkat OS, GKE di AWS tidak rentan.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi perlombaan dengan memulai beberapa pod di satu node secara bersamaan, yang semuanya memiliki pemasangan volume yang sama dengan symlink.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root.

    Apa yang harus saya lakukan?

    Pastikan versi OS tempat Anda menjalankan GKE di AWS diupgrade ke versi OS terbaru yang memiliki paket runc yang telah diupdate.

    Tidak ada

    Cluster GKE di

    Deskripsi Keparahan

    Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

    Karena ini adalah kerentanan tingkat OS, GKE di Bare Metal tidak rentan.

    Detail teknis

    Paket runc rentan terhadap serangan pertukaran symlink saat memasang volume.

    Untuk serangan khusus ini, pengguna berpotensi mengeksploitasi kondisi perlombaan dengan memulai beberapa pod di satu node secara bersamaan, yang semuanya memiliki pemasangan volume yang sama dengan symlink.

    Jika serangan berhasil, salah satu pod akan memasang sistem file node dengan izin root.

    Apa yang harus saya lakukan?

    Pastikan versi OS tempat Anda menjalankan Google Distributed Cloud Virtual for Bare Metal diupgrade ke versi OS terbaru yang memiliki paket runc yang telah diupdate.

    Tidak ada

    GCP-2021-006

    Dipublikasikan: 11-05-2021
    Referensi: CVE-2021-31920

    GKE

    Deskripsi Keparahan

    Project Istio baru-baru ini mengungkap kerentanan keamanan baru (CVE-2021-31920) yang memengaruhi Istio.

    Istio berisi kerentanan yang dapat dieksploitasi dari jarak jauh, yaitu permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat mengabaikan kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan.

    Apa yang harus saya lakukan?

    Sebaiknya update dan konfigurasi ulang cluster GKE Anda. Perhatikan bahwa Anda harus menyelesaikan kedua langkah di bawah ini untuk berhasil mengatasi kerentanan:

    1. Update cluster Anda: Harap selesaikan petunjuk berikut untuk mengupgrade cluster Anda ke versi patch terbaru sesegera mungkin:
      • Jika Anda menggunakan Istio di GKE 1.6:

        Versi rilis patch terbaru adalah 1.6.14-gke.3. Ikuti petunjuk upgrade untuk mengupgrade cluster ke versi terbaru.

      • Jika Anda menggunakan Istio di GKE 1.4:
      • Rilis Istio di GKE 1.4 tidak lagi didukung oleh Istio dan kami tidak melakukan backport perbaikan CVE ke versi ini. Ikuti petunjuk upgrade Istio untuk mengupgrade cluster Anda ke 1.6, lalu ikuti petunjuk di atas untuk mendapatkan Istio versi terbaru di GKE 1.6.

    2. Mengonfigurasi Istio:

      Setelah cluster di-patch, Anda harus mengonfigurasi ulang Istio di GKE. Silakan baca panduan praktik terbaik keamanan untuk mengonfigurasi sistem Anda dengan benar.

    Tinggi

    GCP-2021-004

    Dipublikasikan: 06-05-2021
    Referensi: CVE-2021-28683, CVE-2021-28682, CVE-2021-29258

    GKE

    Deskripsi Keparahan

    Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat Envoy error.

    Cluster GKE tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin rentan terhadap serangan denial of service.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade bidang kontrol GKE Anda ke salah satu versi yang di-patch berikut:

    • 1.16.15-gke.16200
    • 1.17.17-gke.6100
    • 1.18.17-gke.1300
    • 1.19.9-gke.1300
    • 1.20.5-gke.1400
    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat Envoy error.

    GKE di VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap serangan denial of service.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade GKE Anda di VMware ke salah satu versi yang di-patch berikut saat dirilis:

    • 1.5.4
    • 1.6.3
    • 1.7.1
    Sedang

    Cluster GKE di

    Diperbarui: 06-05-2021

    Deskripsi Keparahan

    Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682, dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat Envoy error.

    Google Distributed Cloud Virtual for Bare Metal menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Google Distributed Cloud Virtual untuk Bare Metal ke salah satu versi yang di-patch berikut saat dirilis:

    • 1.6.3
    • 1.7.1
    Sedang

    GCP-2021-003

    Dipublikasikan: 19-04-2021
    Referensi: CVE-2021-25735

    GKE

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Validating Admission Webhook.

    Dalam skenario saat penyerang memiliki hak istimewa yang memadai dan saat Validating Admission Webhook diterapkan yang menggunakan properti objek Node lama (misalnya, kolom di Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan kompromi cluster. Tidak ada kebijakan yang diterapkan oleh pengontrol akses bawaan GKE dan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses tambahan yang telah mereka instal.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster GKE Anda ke salah satu versi yang di-patch berikut:

    • 1.18.17-gke.900
    • 1.19.9-gke.900
    • 1.20.5-gke.900
    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Validating Admission Webhook.

    Dalam skenario saat penyerang memiliki hak istimewa yang memadai dan saat Validating Admission Webhook diterapkan yang menggunakan properti objek Node lama (misalnya, kolom di Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan kompromi cluster. Tidak ada kebijakan yang diterapkan oleh pengontrol akses bawaan GKE dan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses tambahan yang telah mereka instal.

    Apa yang harus saya lakukan?

    Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Validating Admission Webhook.

    Dalam skenario saat penyerang memiliki hak istimewa yang memadai dan saat Validating Admission Webhook diterapkan yang menggunakan properti objek Node lama (misalnya, kolom di Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan kompromi cluster. Tidak ada kebijakan yang diterapkan oleh pengontrol akses bawaan GKE dan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses tambahan yang telah mereka instal.

    Apa yang harus saya lakukan?

    Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Validating Admission Webhook.

    Dalam skenario saat penyerang memiliki hak istimewa yang memadai dan saat Validating Admission Webhook diterapkan yang menggunakan properti objek Node lama (misalnya, kolom di Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan kompromi cluster. Tidak ada kebijakan yang diterapkan oleh pengontrol akses bawaan GKE dan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses tambahan yang telah mereka instal.

    Apa yang harus saya lakukan?

    Versi patch mendatang akan menyertakan mitigasi untuk kerentanan ini.

    Sedang

    GCP-2021-001

    Dipublikasikan: 28-01-2021
    Referensi: CVE-2021-3156

    GKE

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat memungkinkan penyerang dengan akses shell lokal tanpa hak istimewa di sistem dengan sudo yang diinstal untuk mengeskalasi hak istimewa mereka menjadi root di sistem.

    Cluster Google Kubernetes Engine (GKE) tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang diberi otorisasi untuk SSH ke node GKE sudah dianggap memiliki hak istimewa tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa root secara desain. Kerentanan ini tidak menghasilkan jalur eskalasi hak istimewa tambahan dalam skenario ini.
    • Sebagian besar penampung sistem GKE dibuat dari image dasar distroless yang tidak menginstal shell atau sudo. Image lainnya dibuat dari image dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke host karena batas penampung.

    Apa yang harus saya lakukan?

    Karena cluster GKE tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

    GKE akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme reguler.

    Tidak ada

    Cluster GKE di

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat memungkinkan penyerang dengan akses shell lokal tanpa hak istimewa di sistem dengan sudo yang diinstal untuk mengeskalasi hak istimewa mereka menjadi root di sistem.

    GKE di VMware tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang diberi otorisasi untuk SSH ke GKE di node VMware sudah dianggap memiliki hak istimewa tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa root secara desain. Kerentanan ini tidak menghasilkan jalur eskalasi hak istimewa tambahan dalam skenario ini.
    • Sebagian besar penampung sistem GKE di VMware dibuat dari image dasar distroless yang tidak menginstal shell atau sudo. Image lainnya dibuat dari image dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke host karena batas penampung.

    Apa yang harus saya lakukan?

    Karena GKE di cluster VMware tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

    GKE di VMware akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme reguler.

    Tidak ada

    Cluster GKE di

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat memungkinkan penyerang dengan akses shell lokal tanpa hak istimewa di sistem dengan sudo yang diinstal untuk mengeskalasi hak istimewa mereka menjadi root di sistem.

    GKE on AWS tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang diberi otorisasi untuk SSH ke GKE di node AWS sudah dianggap memiliki hak istimewa tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa root secara desain. Kerentanan ini tidak menghasilkan jalur eskalasi hak istimewa tambahan dalam skenario ini.
    • Sebagian besar penampung sistem GKE di AWS di-build dari image dasar distroless yang tidak menginstal shell atau sudo. Image lainnya dibuat dari image dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke host karena batas penampung.

    Apa yang harus saya lakukan?

    Karena GKE di cluster AWS tidak terpengaruh oleh kerentanan ini, tidak diperlukan tindakan lebih lanjut.

    GKE di AWS akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme reguler.

    Tidak ada

    Cluster GKE di

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat memungkinkan penyerang dengan akses shell lokal tanpa hak istimewa di sistem dengan sudo yang diinstal untuk mengeskalasi hak istimewa mereka menjadi root di sistem.

    Cluster Google Distributed Cloud Virtual untuk Bare Metal tidak terpengaruh oleh kerentanan ini:

    • Pengguna yang diberi otorisasi untuk menggunakan SSH ke node Google Distributed Cloud Virtual for Bare Metal sudah dianggap memiliki hak istimewa yang sangat tinggi dan dapat menggunakan sudo untuk mendapatkan hak istimewa root secara desain. Kerentanan ini tidak menghasilkan jalur eskalasi hak istimewa tambahan dalam skenario ini.
    • Sebagian besar penampung sistem Google Distributed Cloud Virtual untuk Bare Metal dibuat dari image dasar distroless yang tidak menginstal shell atau sudo. Image lainnya dibuat dari image dasar debian yang tidak berisi sudo. Meskipun sudo ada, akses ke sudo di dalam penampung tidak memberi Anda akses ke host karena batas penampung.

    Apa yang harus saya lakukan?

    Karena cluster Google Distributed Cloud Virtual for Bare Metal tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut.

    Google Distributed Cloud Virtual untuk Bare Metal akan menerapkan patch untuk kerentanan ini dalam rilis mendatang dengan ritme reguler.

    Tidak ada

    GCP-2020-015

    Dipublikasikan: 07-12-2020
    Diperbarui: 22-12-2021
    Referensi: CVE-2020-8554

    Pembaruan 22-12-2021: Menggunakan gcloud beta, bukan perintah gcloud.

    Pembaruan 15-12-2021: Menambahkan mitigasi tambahan untuk GKE.

    GKE

    Deskripsi Keparahan
    Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta, bukan perintah gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
    1. Mulai GKE versi 1.21, layanan dengan ExternalIP diblokir oleh pengontrol penerimaan DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
    2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
      gcloud container clusters update –no-enable-service-externalips
      

    Untuk mengetahui informasi selengkapnya, lihat Meningkatkan keamanan cluster Anda.


    Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah mendapatkan izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain di cluster.

    Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes.

    Semua cluster Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya di versi mendatang untuk mengatasi kerentanan.

    Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, sebaiknya terapkan mitigasi untuk sementara. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah membatasi penggunaan ExternalIPs dalam cluster. ExternalIPs bukan fitur yang umum digunakan.

    Batasi penggunaan ExternalIP di cluster dengan salah satu metode berikut:

    1. Gunakan Pengontrol Kebijakan atau Gatekeeper GKE Enterprise dengan template batasan ini dan terapkan. Contoh:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Atau instal pengontrol akses untuk mencegah penggunaan ExternalIPs. Project Kubernetes telah menyediakan contoh pengontrol penerimaan untuk tugas ini.

    Seperti yang disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa tinggi dan komponen sistem yang diberi izin container.services.updateStatus yang diperlukan untuk memanfaatkan kerentanan ini.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan
    Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta, bukan perintah gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
    1. Mulai GKE versi 1.21, layanan dengan ExternalIP diblokir oleh pengontrol penerimaan DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
    2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
      gcloud container clusters update –no-enable-service-externalips
      

    Untuk informasi selengkapnya, lihat Meningkatkan keamanan cluster Anda.


    Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah mendapatkan izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain di cluster.

    Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes.

    Semua GKE di VMware terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya di versi mendatang untuk mengatasi kerentanan.

    Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, sebaiknya terapkan mitigasi untuk sementara. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah membatasi penggunaan ExternalIPs dalam cluster. ExternalIPs bukan fitur yang umum digunakan.

    Batasi penggunaan ExternalIP di cluster dengan salah satu metode berikut:

    1. Gunakan Pengontrol Kebijakan atau Gatekeeper GKE Enterprise dengan template batasan ini dan terapkan. Contoh:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Atau instal pengontrol akses untuk mencegah penggunaan ExternalIPs. Project Kubernetes telah menyediakan contoh pengontrol penerimaan untuk tugas ini.

    Seperti yang disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa tinggi dan komponen sistem yang diberi izin container.services.updateStatus yang diperlukan untuk memanfaatkan kerentanan ini.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan
    Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta, bukan perintah gcloud.
    gcloud beta container clusters update –no-enable-service-externalips
    

    Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
    1. Mulai GKE versi 1.21, layanan dengan ExternalIP diblokir oleh pengontrol penerimaan DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
    2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
      gcloud container clusters update –no-enable-service-externalips
      

    Untuk mengetahui informasi selengkapnya, lihat Meningkatkan keamanan cluster Anda.


    Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang mungkin memungkinkan penyerang yang telah mendapatkan izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk mencegat traffic jaringan yang berasal dari Pod lain di cluster.

    Kerentanan ini sendiri tidak memberi penyerang izin untuk membuat Layanan Kubernetes.

    Semua GKE di AWS terpengaruh oleh kerentanan ini.

    Apa yang harus saya lakukan?

    Kubernetes mungkin perlu membuat perubahan desain yang tidak kompatibel dengan versi sebelumnya di versi mendatang untuk mengatasi kerentanan.

    Jika banyak pengguna berbagi akses ke cluster Anda dengan izin untuk membuat Layanan, seperti di cluster multi-tenant, sebaiknya terapkan mitigasi untuk sementara. Untuk saat ini, pendekatan terbaik untuk mitigasi adalah membatasi penggunaan ExternalIPs dalam cluster. ExternalIPs bukan fitur yang umum digunakan.

    Batasi penggunaan ExternalIP di cluster dengan salah satu metode berikut:

    1. Gunakan Pengontrol Kebijakan atau Gatekeeper GKE Enterprise dengan template batasan ini dan terapkan. Contoh:
      # Only allow the creation of Services with no
      # ExternalIP or an ExternalIP of 203.0.113.1:
      
      apiVersion: constraints.gatekeeper.sh/v1beta1
      kind: K8sExternalIPs
      metadata:
        name: external-ips
      spec:
        match:
          kinds:
            - apiGroups: [""]
              kinds: ["Service"]
        parameters:
          allowedIPs:
            - "203.0.113.1"
      
    2. Atau instal pengontrol akses untuk mencegah penggunaan ExternalIPs. Project Kubernetes telah menyediakan contoh pengontrol penerimaan untuk tugas ini.

    Seperti yang disebutkan dalam pengumuman Kubernetes, tidak ada mitigasi yang disediakan untuk Layanan jenis LoadBalancer karena, secara default, hanya pengguna dengan hak istimewa tinggi dan komponen sistem yang diberi izin container.services.updateStatus yang diperlukan untuk memanfaatkan kerentanan ini.

    Sedang

    GCP-2020-014

    Dipublikasikan: 20-10-2020
    Referensi: CVE-2020-8563, CVE-2020-8564, CVE-2020-8565, CVE-2020-8566

    GKE

    Diperbarui: 20-10-2020

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Masalahnya adalah:

    • CVE-2020-8563: Kebocoran secret dalam log untuk kube-controller-manager Penyedia vSphere
    • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file salah format dan loglevel >= 4
    • CVE-2020-8565: Perbaikan yang tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token dalam log saat logLevel >= 9. Ditemukan oleh Keamanan GKE.
    • CVE-2020-8566: adminSecrets Ceph RBD diekspos dalam log saat loglevel >= 4

    GKE tidak terpengaruh.

    Apa yang harus saya lakukan?

    Tidak perlu tindakan lebih lanjut karena tingkat logging panjang default GKE.

    Tidak ada

    Cluster GKE di

    Diperbarui: 10-10-2020

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Masalahnya adalah:

    • CVE-2020-8563: Kebocoran secret dalam log untuk kube-controller-manager Penyedia vSphere
    • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file salah format dan loglevel >= 4
    • CVE-2020-8565: Perbaikan yang tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token dalam log saat logLevel >= 9. Ditemukan oleh Keamanan GKE.
    • CVE-2020-8566: adminSecrets Ceph RBD diekspos dalam log saat loglevel >= 4

    GKE on VMware tidak terpengaruh.

    Apa yang harus saya lakukan?

    Tidak perlu tindakan lebih lanjut karena tingkat logging panjang default GKE.

    Tidak ada

    Cluster GKE di

    Diperbarui: 20-10-2020

    Deskripsi Keparahan

    Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Masalahnya adalah:

    • CVE-2020-8563: Kebocoran secret dalam log untuk kube-controller-manager Penyedia vSphere
    • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file salah format dan loglevel >= 4
    • CVE-2020-8565: Perbaikan yang tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token dalam log saat logLevel >= 9. Ditemukan oleh Keamanan GKE.
    • CVE-2020-8566: adminSecrets Ceph RBD diekspos dalam log saat loglevel >= 4

    GKE di AWS tidak terpengaruh.

    Apa yang harus saya lakukan?

    Tidak perlu tindakan lebih lanjut karena tingkat logging panjang default GKE.

    Tidak ada

    GCP-2020-012

    Dipublikasikan: 14-09-2020
    Referensi: CVE-2020-14386

    GKE

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang dapat memungkinkan container escape mendapatkan hak istimewa root di node host.

    Semua node GKE terpengaruh. Pod yang berjalan di GKE Sandbox tidak dapat memanfaatkan kerentanan ini.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade panel kontrol, lalu node Anda ke salah satu versi yang di-patch yang tercantum di bawah:

    • 1.14.10-gke.50
    • 1.15.12-gke.20
    • 1.16.13-gke.401
    • 1.17.9-gke.1504
    • 1.18.6-gke.3504

    Untuk mengeksploitasi kerentanan ini, Anda memerlukan CAP_NET_RAW, tetapi sangat sedikit penampung yang biasanya memerlukan CAP_NET_RAW. Kemampuan ini dan kemampuan canggih lainnya harus diblokir secara default melalui PodSecurityPolicy atau Pengontrol Kebijakan:

    Hapus kemampuan CAP_NET_RAW dari penampung dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan memperbarui spesifikasi Pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW menulis 1 hingga 10 byte memori kernel, dan mungkin keluar dari container serta mendapatkan hak istimewa root di node host. Kerentanan ini dinilai sebagai kerentanan keparahan Tinggi.

    Tinggi

    Cluster GKE di

    Diperbarui: 17-09-2020

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang dapat memungkinkan container escape mendapatkan hak istimewa root di node host.

    Semua node GKE di VMware terpengaruh.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. Versi {gke_on_prem_name}} mendatang berikut akan berisi perbaikan untuk kerentanan ini, dan buletin ini akan diperbarui saat tersedia:

    • GKE on VMware 1.4.3, kini tersedia.
    • GKE on VMware 1.3.4, kini tersedia.

    Untuk mengeksploitasi kerentanan ini, Anda memerlukan CAP_NET_RAW, tetapi sangat sedikit penampung yang biasanya memerlukan CAP_NET_RAW. Kemampuan ini dan kemampuan canggih lainnya harus diblokir secara default melalui PodSecurityPolicy atau Pengontrol Kebijakan:

    Hapus kemampuan CAP_NET_RAW dari penampung dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan memperbarui spesifikasi Pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW menulis 1 hingga 10 byte memori kernel, dan mungkin keluar dari container serta mendapatkan hak istimewa root di node host. Kerentanan ini dinilai sebagai kerentanan keparahan Tinggi.

    Tinggi

    Cluster GKE di

    Diperbarui: 13-10-2020

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang dapat memungkinkan container escape mendapatkan hak istimewa root di node host.

    Semua node GKE on AWS terpengaruh.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade layanan pengelolaan dan cluster pengguna ke versi yang di-patch. Versi GKE mendatang di AWS berikut atau yang lebih baru akan menyertakan perbaikan untuk kerentanan ini, dan buletin ini akan diperbarui saat tersedia:

    • 1.5.0-gke.6
    • 1.4.3-gke.7

    Hapus kemampuan CAP_NET_RAW dari penampung dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan memperbarui spesifikasi Pod Anda:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW menulis 1 hingga 10 byte memori kernel, dan mungkin keluar dari container serta mendapatkan hak istimewa root di node host. Kerentanan ini dinilai sebagai kerentanan keparahan Tinggi.

    Tinggi

    GCP-2020-011

    Dipublikasikan: 24-07-2020
    Referensi: CVE-2020-8558

    GKE

    Deskripsi Keparahan

    Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang dengan akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi.

    Untuk mengeksploitasi kerentanan ini di cluster GKE, penyerang harus memiliki hak istimewa administrator jaringan di Google Cloud yang menghosting VPC cluster. Kerentanan ini saja tidak memberi penyerang hak istimewa administrator jaringan. Oleh karena itu, kerentanan ini telah ditetapkan tingkat keparahannya sebagai Rendah untuk GKE.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade node pool cluster Anda ke versi GKE berikut (dan yang lebih baru):

    • 1.17.7-gke.0
    • 1.16.11-gke.0
    • 1.16.10-gke.11
    • 1.16.9-gke.14

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan berikut: CVE-2020-8558.

    Rendah

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang dengan akses ke jaringan cluster mengirim traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. Versi GKE di VMware mendatang atau yang lebih baru berikut berisi perbaikan untuk kerentanan ini:

    • GKE on VMware 1.4.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan berikut: CVE-2020-8558.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang dengan akses ke jaringan cluster mengirim traffic ke antarmuka loopback dari Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod-nya dapat dieksploitasi.

    Untuk mengeksploitasi kerentanan ini di cluster pengguna, penyerang harus menonaktifkan pemeriksaan tujuan sumber pada instance EC2 di cluster. Hal ini mengharuskan penyerang memiliki izin AWS IAM untuk ModifyInstanceAttribute atau ModifyNetworkInterfaceAttribute di instance EC2. Oleh karena itu, kerentanan ini telah diberi tingkat keparahan Rendah untuk GKE di AWS.

    Apa yang harus saya lakukan?

    Untuk memperbaiki kerentanan ini, upgrade cluster Anda ke versi yang di-patch. Versi GKE di AWS mendatang atau yang lebih baru berikut diharapkan akan menyertakan perbaikan untuk kerentanan ini:

    • GKE on AWS 1.4.1-gke.17

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan berikut: CVE-2020-8558.

    Rendah

    GCP-2020-009

    Dipublikasikan: 15-07-2020
    Referensi: CVE-2020-8559

    GKE

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan eskalasi hak istimewa, CVE-2020-8559, di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif.

    Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node di cluster Anda harus sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan membahayakan node apa pun di cluster Anda.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang di-patch. Cluster akan diupgrade secara otomatis selama beberapa minggu ke depan, dan versi yang di-patch akan tersedia paling lambat 19 Juli 2020 untuk jadwal upgrade manual yang dipercepat. Versi control plane GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:

    • v1.14.10-gke.46
    • v1.15.12-gke.8
    • v1.16.9-gke.11
    • v1.16.10-gke.9
    • v1.16.11-gke.3+
    • v1.17.7-gke.6+

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini diberi rating sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif selain node yang sudah disusupi. Kerentanan ini sendiri tidak akan memberikan node yang disusupi kepada penyerang.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan eskalasi hak istimewa, CVE-2020-8559, di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif.

    Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node di cluster Anda harus sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan membahayakan node apa pun di cluster Anda.

    Apa yang harus saya lakukan?

    Upgrade cluster Anda ke versi yang di-patch. GKE mendatang di VMware versi berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:

    • Anthos 1.3.3
    • Anthos 1.4.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini diberi rating sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif selain node yang sudah disusupi. Kerentanan ini sendiri tidak akan memberikan node yang disusupi kepada penyerang.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan eskalasi hak istimewa, CVE-2020-8559, di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang sudah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif.

    Perhatikan bahwa agar penyerang dapat mengeksploitasi kerentanan ini, node di cluster Anda harus sudah disusupi. Kerentanan ini, dengan sendirinya, tidak akan membahayakan node apa pun di cluster Anda.

    Apa yang harus saya lakukan?

    GKE di AWS GA (1.4.1, tersedia akhir Juli 2020) atau yang lebih baru menyertakan patch untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download alat command line anthos-gke versi baru dan buat ulang cluster pengguna dan pengelolaan Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8559. Hal ini diberi rating sebagai kerentanan Sedang untuk GKE, karena penyerang harus memiliki informasi langsung tentang cluster, node, dan workload untuk memanfaatkan serangan ini secara efektif selain node yang sudah disusupi. Kerentanan ini sendiri tidak akan memberikan node yang disusupi kepada penyerang.

    Sedang

    GCP-2020-007

    Dipublikasikan: 01-06-2020
    Referensi: CVE-2020-8555

    GKE

    Deskripsi Keparahan

    Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang diberi otorisasi untuk membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya Anda mengupgrade panel kontrol ke versi patch terbaru, seperti yang kami jelaskan di bawah. Upgrade node tidak diperlukan.

    Apa yang harus saya lakukan?

    Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut. Sebagian besar cluster sudah menjalankan versi yang di-patch. Versi GKE berikut atau yang lebih baru berisi perbaikan untuk kerentanan ini:
    • 1.14.7-gke.39
    • 1.14.8-gke.32
    • 1.14.9-gke.17
    • 1.14.10-gke.12
    • 1.15.7-gke.17
    • 1.16.4-gke.21
    • 1.17.0-gke.0

    Cluster yang menggunakan saluran rilis sudah menggunakan versi bidang kontrol dengan mitigasi.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol.

    Penyerang dengan izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan kube-controller-manager membuat permintaan GET atau permintaan POST tanpa isi permintaan yang dikontrol penyerang dari jaringan host master. Jenis volume ini jarang digunakan di GKE, sehingga penggunaan baru jenis volume ini mungkin merupakan sinyal deteksi yang berguna.

    Jika digabungkan dengan cara untuk membocorkan hasil GET/POST kembali ke penyerang, seperti melalui log, hal ini dapat menyebabkan pengungkapan informasi sensitif. Kami telah memperbarui driver penyimpanan yang dimaksud untuk menghilangkan potensi kebocoran tersebut.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang diberi otorisasi untuk membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya upgrade panel kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Upgrade node tidak diperlukan.

    Apa yang harus saya lakukan?

    Versi GKE berikut di VMware atau yang lebih baru berisi perbaikan untuk kerentanan ini:

    • Anthos 1.3.0

    Jika Anda menggunakan versi sebelumnya, upgrade cluster yang ada ke versi yang berisi perbaikan.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol.

    Penyerang dengan izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan kube-controller-manager membuat permintaan GET atau permintaan POST tanpa isi permintaan yang dikontrol penyerang dari jaringan host master. Jenis volume ini jarang digunakan di GKE, sehingga penggunaan baru jenis volume ini mungkin merupakan sinyal deteksi yang berguna.

    Jika digabungkan dengan cara untuk membocorkan hasil GET/POST kembali ke penyerang, seperti melalui log, hal ini dapat menyebabkan pengungkapan informasi sensitif. Kami telah memperbarui driver penyimpanan yang dimaksud untuk menghilangkan potensi kebocoran tersebut.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang diberi otorisasi untuk membocorkan informasi sensitif hingga 500 byte dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya upgrade panel kontrol ke versi patch terbaru, seperti yang dijelaskan di bawah ini. Upgrade node tidak diperlukan.

    Apa yang harus saya lakukan?

    GKE di AWS v0.2.0 atau yang lebih baru sudah menyertakan patch untuk kerentanan ini. Jika Anda menggunakan versi sebelumnya, download alat command line anthos-gke versi baru dan buat ulang cluster pengguna dan pengelolaan Anda.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi kerentanan CVE-2020-8555. Kerentanan ini dinilai sebagai kerentanan Sedang untuk GKE karena sulit dieksploitasi karena berbagai tindakan hardening bidang kontrol.

    Penyerang dengan izin untuk membuat Pod dengan jenis Volume bawaan tertentu (GlusterFS, Quobyte, StorageFS, ScaleIO) atau izin untuk membuat StorageClass dapat menyebabkan kube-controller-manager membuat permintaan GET atau permintaan POST tanpa isi permintaan yang dikontrol penyerang dari jaringan host master. Jenis volume ini jarang digunakan di GKE, sehingga penggunaan baru jenis volume ini mungkin merupakan sinyal deteksi yang berguna.

    Jika digabungkan dengan cara untuk membocorkan hasil GET/POST kembali ke penyerang, seperti melalui log, hal ini dapat menyebabkan pengungkapan informasi sensitif. Kami telah memperbarui driver penyimpanan yang dimaksud untuk menghilangkan potensi kebocoran tersebut.

    Sedang

    GCP-2020-006

    Dipublikasikan: 01-06-2020
    Referensi: Masalah Kubernetes 91507

    GKE

    Deskripsi Keparahan

    Kubernetes telah mengungkapkan kerentanan yang memungkinkan penampung dengan hak istimewa mengalihkan traffic node ke penampung lain. Traffic TLS/SSH bersama, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini.

    Apa yang harus saya lakukan?

    Untuk mengurangi kerentanan ini, upgrade panel kontrol, lalu node Anda ke salah satu versi yang di-patch yang tercantum di bawah. Cluster di saluran rilis sudah menjalankan versi yang di-patch di bidang kontrol dan node:
    • 1.14.10-gke.36
    • 1.15.11-gke.15
    • 1.16.8-gke.15

    Sangat sedikit penampung yang biasanya memerlukan CAP_NET_RAW. Kemampuan ini dan kemampuan canggih lainnya harus diblokir secara default melalui PodSecurityPolicy atau Anthos Policy Controller:

    Hapus kemampuan CAP_NET_RAW dari penampung dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan memperbarui spesifikasi Pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan yang dijelaskan dalam masalah Kubernetes 91507 kemampuan CAP_NET_RAW (yang disertakan dalam kumpulan kemampuan penampung default) untuk mengonfigurasi stack IPv6 dengan berbahaya di node dan mengalihkan traffic node ke penampung yang dikontrol penyerang. Hal ini akan memungkinkan penyerang mencegat/memodifikasi traffic yang berasal dari atau ditujukan ke node. Traffic TLS/SSH timbal balik, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Kubernetes telah mengungkapkan kerentanan yang memungkinkan penampung dengan hak istimewa mengalihkan traffic node ke penampung lain. Traffic TLS/SSH bersama, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini.

    Apa yang harus saya lakukan?

    Untuk mengurangi kerentanan ini untuk GKE di VMware, upgrade cluster Anda ke versi berikut atau yang lebih baru:
    • Anthos 1.3.2

    Sangat sedikit penampung yang biasanya memerlukan CAP_NET_RAW. Kemampuan ini dan kemampuan canggih lainnya harus diblokir secara default melalui Anthos Policy Controller atau dengan memperbarui spesifikasi Pod Anda:

    Hapus kemampuan CAP_NET_RAW dari penampung dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan memperbarui spesifikasi Pod:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan yang dijelaskan dalam masalah Kubernetes 91507 kemampuan CAP_NET_RAW (yang disertakan dalam kumpulan kemampuan penampung default) untuk mengonfigurasi stack IPv6 dengan berbahaya di node dan mengalihkan traffic node ke penampung yang dikontrol penyerang. Hal ini akan memungkinkan penyerang mencegat/memodifikasi traffic yang berasal dari atau ditujukan ke node. Traffic TLS/SSH timbal balik, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini.

    Sedang

    Cluster GKE di

    Deskripsi Keparahan

    Kubernetes telah mengungkapkan kerentanan yang memungkinkan penampung dengan hak istimewa mengalihkan traffic node ke penampung lain. Traffic TLS/SSH bersama, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru, seperti yang dijelaskan di bawah ini.

    Apa yang harus saya lakukan?

    Download alat command line anthos-gke dengan versi berikut atau yang lebih baru dan buat ulang cluster pengelolaan dan pengguna Anda:

    • aws-0.2.1-gke.7

    Sangat sedikit penampung yang biasanya memerlukan CAP_NET_RAW. Kemampuan ini dan kemampuan canggih lainnya harus diblokir secara default melalui Anthos Policy Controller atau dengan memperbarui spesifikasi Pod Anda:

    Hapus kemampuan CAP_NET_RAW dari penampung dengan salah satu metode berikut:

    • Terapkan pemblokiran kemampuan ini dengan PodSecurityPolicy, misalnya:
          # Require dropping CAP_NET_RAW with a PSP
          apiversion: extensions/v1beta1
          kind: PodSecurityPolicy
          metadata:
            name: no-cap-net-raw
          spec:
            requiredDropCapabilities:
              -NET_RAW
               ...
               # Unrelated fields omitted
    • Atau dengan menggunakan Pengontrol Kebijakan atau Gatekeeper dengan template batasan ini dan menerapkannya, misalnya:
          # Dropping CAP_NET_RAW with Gatekeeper
          # (requires the K8sPSPCapabilities template)
          apiversion: constraints.gatekeeper.sh/v1beta1
          kind:  K8sPSPCapabilities
          metadata:
            name: forbid-cap-net-raw
          spec:
            match:
              kinds:
                - apiGroups: [""]
                kinds: ["Pod"]
              namespaces:
                #List of namespaces to enforce this constraint on
                - default
              # If running gatekeeper >= v3.1.0-beta.5,
              # you can exclude namespaces rather than including them above.
              excludedNamespaces:
                - kube-system
            parameters:
              requiredDropCapabilities:
                - "NET_RAW"
    • Atau dengan memperbarui spesifikasi Pod Anda:
          # Dropping CAP_NET_RAW from a Pod:
          apiVersion: v1
          kind: Pod
          metadata:
            name: no-cap-net-raw
          spec:
            containers:
              -name: my-container
               ...
              securityContext:
                capabilities:
                  drop:
                    -NET_RAW

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    Kerentanan yang dijelaskan dalam masalah Kubernetes 91507 kemampuan CAP_NET_RAW (yang disertakan dalam kumpulan kemampuan penampung default) untuk mengonfigurasi stack IPv6 dengan berbahaya di node dan mengalihkan traffic node ke penampung yang dikontrol penyerang. Hal ini akan memungkinkan penyerang mencegat/memodifikasi traffic yang berasal dari atau ditujukan ke node. Traffic TLS/SSH timbal balik, seperti antara kubelet dan server API atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau diubah oleh serangan ini.

    Sedang

    GCP-2020-005

    Dipublikasikan: 07-05-2020
    Diperbarui: 07-05-2020
    Referensi: CVE-2020-8835

    GKE

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-8835, yang memungkinkan container escape mendapatkan hak istimewa root di node host.

    Node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17 terpengaruh oleh kerentanan ini, dan sebaiknya Anda mengupgrade ke versi patch terbaru secepatnya, seperti yang dijelaskan di bawah ini.

    Node yang menjalankan Container-Optimized OS tidak akan terpengaruh. Node yang berjalan di GKE di VMware tidak terpengaruh.

    Apa yang harus saya lakukan?

    Bagi sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut. Hanya node yang menjalankan Ubuntu di GKE versi 1.16 atau 1.17 yang terpengaruh.

    Agar dapat mengupgrade node, pertama-tama upgrade master ke versi terbaru. Patch ini tersedia dalam Kubernetes 1.16.8-gke.12, 1.17.4-gke.10, dan rilis yang lebih baru. Lacak ketersediaan patch ini di catatan rilis.

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    CVE-2020-8835 menjelaskan kerentanan di kernel Linux versi 5.5.0 dan yang lebih baru yang memungkinkan penampung berbahaya (dengan interaksi pengguna minimal dalam bentuk exec) membaca dan menulis memori kernel sehingga mendapatkan eksekusi kode level root di node host. Kerentanan ini dinilai sebagai kerentanan keparahan 'Tinggi'.

    Tinggi

    GCP-2020-004

    Dipublikasikan: 07-05-2020
    Diperbarui: 07-05-2020
    Referensi: CVE-2019-11254

    Cluster GKE di

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan di Kubernetes, yang dijelaskan dalam CVE-2019-11254, yang memungkinkan pengguna yang diberi otorisasi untuk membuat permintaan POST mengeksekusi serangan Denial of Service jarak jauh di server Kubernetes API. Kubernetes Product Security Committee (PSC) merilis informasi tambahan tentang kerentanan ini yang dapat ditemukan di sini.

    Anda dapat mengurangi kerentanan ini dengan membatasi klien mana yang memiliki akses jaringan ke server Kubernetes API Anda.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan untuk kerentanan ini segera setelah tersedia.

    Versi patch yang berisi perbaikan tercantum di bawah:

    • Anthos 1.3.0, yang menjalankan Kubernetes versi 1.15.7-gke.32

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut:

    CVE-2019-11254.

    Sedang

    GCP-2020-003

    Dipublikasikan: 31-03-2020
    Diperbarui: 31-03-2020
    Referensi: CVE-2019-11254

    GKE

    Deskripsi Keparahan

    Baru-baru ini ditemukan kerentanan di Kubernetes, yang dijelaskan dalam CVE-2019-11254, yang memungkinkan pengguna yang diberi otorisasi untuk membuat permintaan POST mengeksekusi serangan Denial of Service jarak jauh di server Kubernetes API. Kubernetes Product Security Committee (PSC) merilis informasi tambahan tentang kerentanan ini yang dapat ditemukan di sini.

    Cluster GKE yang menggunakan Jaringan Master yang Diizinkan dan Cluster pribadi tanpa endpoint publik mengurangi kerentanan ini.

    Apa yang harus saya lakukan?

    Sebaiknya upgrade cluster Anda ke versi patch yang berisi perbaikan untuk kerentanan ini.

    Versi patch yang berisi perbaikan tercantum di bawah:

    • 1.13.12-gke.29
    • 1.14.9-gke.27
    • 1.14.10-gke.24
    • 1.15.9-gke.20
    • 1.16.6-gke.1

    Jenis kerentanan apa yang dapat diatasi oleh patch ini?

    Patch ini memperbaiki kerentanan Denial-of-Service (DoS) berikut:

    CVE-2019-11254.

    Sedang

    GCP-2020-002

    Dipublikasikan: 23-03-2020
    Diperbarui: 23-03-2020
    Referensi: CVE-2020-8551, CVE-2020-8552

    GKE

    Deskripsi Keparahan

    Kubernetes telah mengungkapkan dua kerentanan denial of service, satu memengaruhi server API, dan satu lagi memengaruhi Kubelet. Untuk detail selengkapnya, lihat masalah Kubernetes: 89377 dan 89378.

    Apa yang harus saya lakukan?

    Semua pengguna GKE dilindungi dari CVE-2020-8551, kecuali jika pengguna yang tidak tepercaya dapat mengirim permintaan dalam jaringan internal cluster. Penggunaan jaringan master yang diizinkan juga mengurangi risiko CVE-2020-8552.

    Kapan patch ini akan diterapkan?

    Patch untuk CVE-2020-8551 memerlukan upgrade node. Versi patch yang akan berisi mitigasi tercantum di bawah:

    • 1.15.10-gke.*
    • 1.16.7-gke.*

    Patch untuk CVE-2020-8552 memerlukan upgrade master. Versi patch yang akan berisi mitigasi tercantum di bawah:

    • 1.14.10-gke.32
    • 1.15.10-gke.*
    • 1.16.7-gke.*
    Sedang

    GCP-january_21_2020

    Dipublikasikan: 21-01-2020
    Diperbarui: 24-01-2020
    Referensi: CVE-2019-11254

    GKE

    Deskripsi Keparahan

    Pembaruan 24-01-2020: Proses penyediaan versi yang ditambal sudah berlangsung dan akan selesai paling lambat 25 Januari 2020.


    Microsoft telah mengungkapkan kerentanan di Windows Crypto API dan validasi tanda tangan elliptic curve-nya. Untuk informasi selengkapnya, lihat pengungkapan Microsoft.

    Apa yang sebaiknya saya lakukan?

    Bagi sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut. Hanya node yang menjalankan Windows Server yang terpengaruh.

    Untuk pelanggan yang menggunakan node Windows Server, node dan workload dalam penampung yang berjalan di node tersebut harus diupdate ke versi yang di-patch untuk mengurangi kerentanan ini.

    Untuk memperbarui penampung:

    Build ulang container Anda menggunakan image container dasar terbaru Microsoft, dengan memilih tag servercore atau nanoserver dengan Waktu Terakhir Diupdate 14/01/2020 atau yang lebih baru.

    Untuk memperbarui node:

    Proses penyediaan versi yang di-patch sudah sedang berlangsung dan akan selesai paling lambat 24 Januari 2020.

    Anda dapat menunggu hingga waktu tersebut dan melakukan upgrade node ke versi GKE yang di-patch atau menggunakan Windows Update untuk men-deploy patch Windows terbaru secara manual kapan saja.

    Versi patch yang akan berisi mitigasi tercantum di bawah:

    • 1.14.7-gke.40
    • 1.14.8-gke.33
    • 1.14.9-gke.23
    • 1.14.10-gke.17
    • 1.15.7-gke.23
    • 1.16.4-gke.22

    Kerentanan apa yang diatasi oleh patch ini?

    Patch ini mengurangi jenis kerentanan berikut:

    CVE-2020-0601 - Kerentanan ini juga dikenal sebagai Kerentanan Spoofing Crypto API Windows dan dapat dieksploitasi untuk membuat file yang dapat dieksekusi berbahaya tampak tepercaya atau memungkinkan penyerang melakukan serangan man-in-the-middle dan mendekripsi informasi rahasia pada koneksi TLS ke software yang terpengaruh.

    Skor Dasar NVD: 8,1 (Tinggi)

    Buletin keamanan yang diarsipkan

    Untuk buletin keamanan sebelum tahun 2020, lihat Arsip buletin keamanan.