安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-26585

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

以下 CVE 会导致 Anthos Service Mesh 面临可利用的漏洞：

• CVE-2024-27919：HTTP/2：因 CONTINUATION 帧泛洪攻击而导致内存耗尽。
• CVE-2024-30255：HTTP/2：因 CONTINUATION 帧泛洪攻击而导致的 CPU 耗尽
• CVE-2024-32475：使用“auto_sni”且“:authority”标头超过 255 个字符时出现异常终止。
• CVE-2023-45288：HTTP/2 CONTINUATION 帧可用于 DoS 攻击。

如需了解相关说明和更多详细信息，请参阅 Anthos Service Mesh 安全公告。

• CVE-2024-27919
  
• CVE-2024-30255
  
• CVE-2024-32475
  
• CVE-2023-45288
  

2024 年 4 月 24 日更新：添加了适用于 GKE 的补丁版本。

最近，我们在 HTTP/2 协议的多个实现（包括 Kubernetes 使用的 golang HTTP 服务器）中发现了拒绝服务攻击 (DoS) 漏洞 (CVE-2023-45288)。此漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭到 DoS 攻击。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

Compute Engine 不受 CVE-2024-3094 影响，CVE-2024-3094 会影响 liblzma 库中 xz-utils 软件包的版本 5.6.0 和 5.6.1，可能会导致 OpenSSH 实用程序遭到入侵。

如需了解详情，请参阅 Compute Engine 安全公告。

研究人员在 Ray 中发现了一个漏洞 (CVE-2023-48022)。Ray 是适用于 AI 工作负载的第三方开源工具。由于 Ray 不要求进行身份验证，因此威胁参与者可以通过将作业提交到公开实例来实现远程代码执行。Ray 的开发商 Anyscale 对此漏洞提出了异议。Ray 维护其功能是预期的核心产品功能，因此必须在 Ray 集群之外实现其安全性，因为 Ray 集群的任何意外网络暴露都可能导致危害。

根据响应，此 CVE 存在争议，可能不会出现在漏洞扫描工具中。无论是哪种情况，它都有被主动利用的漏洞，用户应按照以下建议配置其使用方式。

该怎么做？

遵循 Ray 最佳实践和准则（包括在可信网络上运行可信代码），以保护您的 Ray 工作负载。客户云实例中的 ray.io 部署存在责任共担模式。

Google Kubernetes Engine (GKE) 安全团队发布了一篇博客，介绍如何强化 GKE 上的 Ray。

如需详细了解如何向 Ray 服务添加身份验证和授权，请参阅 Identity-Aware Proxy (IAP) 文档。GKE 用户可以按照此指南实现 IAP，也可以重复使用博客中链接的 Terraform 模块。

2024 年 4 月 4 日更新：更正了 GKE Container-Optimized OS 节点池的最低版本。

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-1085

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3611

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

VMware 在 VMSA-2024-0006 中披露了多个漏洞，这些漏洞会影响客户环境中部署的 ESXi 组件。

Cloud Customer Care 的影响

为应对此安全漏洞，您的私有云已更新。

该怎么做？

您无需执行任何操作。

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3776

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-3610

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2024-0193

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，这些漏洞可能会导致 Container-Optimized OS 和 Ubuntu 节点的权限提升：

• CVE-2023-6932

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 4 月 17 日更新：添加了 GKE on VMware 的补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6931

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 2 月 13 日，AMD 披露了两个基于第三代“Milan”和第四代“Genoa”Zen 核心的 EPYC CPU 上的 SEV-SNP 漏洞。这类漏洞允许特权攻击者访问来自客户机的过时数据，或导致客户机完整性受损。

Google 已对受影响的资产（包括 Google Cloud）采取修复措施，以确保客户受到保护。目前，我们尚未发现任何利用漏洞的证据，也未向 Google 报告此类行为的证据。

该怎么做？

客户无需采取任何行动。修复方案已应用到 Google Cloud 的 Google 服务器群，包括 Compute Engine。

如需了解详情，请参阅 AMD 安全建议 AMD-SN-3007。

• CVE-2023-31346
• CVE-2023-31347

CVE-2023-5528 允许攻击者在 Windows 节点上创建 Pod 和永久性卷，从而在这些节点上实现管理员权限提升。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

以下 CVE 会导致 Anthos Service Mesh 面临可利用的漏洞：

• CVE-2024-23322：当处于空闲状态且每次尝试的请求数在退避间隔内发生时，Envoy 会崩溃。
• CVE-2024-23323：使用正则表达式配置 URI 模板匹配器时，CPU 使用率过高。
• CVE-2024-23324：当代理协议过滤器设置无效的 UTF-8 元数据时，可以绕过外部授权。
• 使用操作系统不支持的地址类型时，Envoy 会崩溃。
• CVE-2024-23327：当命令类型为 LOCAL 时，代理协议中出现崩溃。

如需了解相关说明和更多详细信息，请参阅 Anthos Service Mesh 安全公告。

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

当 Apigee API Management 代理连接到目标端点或 目标服务器时，默认情况下，代理不会对目标端点或目标服务器提供的证书执行主机名验证。 如果未使用以下选项之一启用主机名验证，则连接到目标端点或目标服务器的 Apigee 代理可能会面临已获授权的用户发起中间人攻击的风险。如需了解详情，请参阅配置从边缘到后端（Cloud 和 Private Cloud）的 TLS。

以下 Apigee 平台上的 Apigee 代理部署会受到影响：

• 适用于公有云的 Apigee Edge
• 适用于私有云的 Apigee Edge

如需了解说明和更多详细信息，请参阅 Apigee 安全公告。

2024 年 4 月 2 日更新：添加了 GKE on Bare Metal 的补丁版本

2024 年 3 月 6 日更新：添加了适用于 GKE on VMware 的补丁版本

2024-02-28 更新：添加了适用于 Ubuntu 的补丁版本

2024 年 2 月 15 日更新：阐明了 2024-02-14 更新中的 1.25 和 1.26 Ubuntu 补丁版本可能会导致节点运行状况不佳。

2024-02-14 更新：添加了适用于 Ubuntu 的补丁版本

2024 年 2 月 6 日更新 ：添加了 Container-Optimized OS 的补丁版本。

在 runc 中发现了一个安全漏洞 CVE-2024-21626，有权在 Container-Optimized OS 和 Ubuntu 节点上创建 Pod 的用户也许可以获得对节点文件系统的完整访问权限。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 2 月 7 日更新：添加了 Ubuntu 的补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-6817

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 1 月 26 日更新：阐明了受影响集群的数量，以及我们为帮助减轻影响而采取的措施。如需了解详情，请参阅 GCP-2024-003 安全公告。

我们已经确定了若干集群，其中用户已向 system:authenticated 群组（包括拥有 Google 账号的所有用户）授予了 Kubernetes 权限。我们不建议进行上述类型的绑定，因为这违反了最小权限原则，向大量用户授予了访问权限。如需了解如何查找这些类型的绑定，请参阅“我该怎么做”下的指导。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告

2024 年 2 月 20 日更新：添加了 GKE on VMware 的补丁版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 节点提权。

• CVE-2023-6111

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 TianoCore EDK II UEFI 固件中发现了多个漏洞。此固件用于 Google Compute Engine 虚拟机。如果漏洞被利用，则可以绕过安全启动，从而在安全启动过程中（包括在安全强化型虚拟机中使用时）提供错误的测量结果。

该怎么做？

无需进行任何操作。Google 已在 Compute Engine 中修补此漏洞，所有虚拟机都能抵御此漏洞。

该补丁解决了哪些漏洞？

该补丁缓解了以下漏洞：

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3609

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3389

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3090

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3390

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

入侵 Fluent Bit 日志记录容器的攻击者可以将这种访问权限与 Anthos Service Mesh（已启用它的集群上）所需的高权限结合使用，以在集群中升级权限。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2024 年 3 月 4 日更新 ：添加了适用于 GKE on VMware 的 GKE 版本。

2024-01-22 更新：添加了 Ubuntu 补丁版本

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5717

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• GKE on Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-5197

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

11 月 14 日，AMD 披露了多个会影响各种 AMD 服务器 CPU 的漏洞。具体而言，这些漏洞会影响利用第 2 代 Zen 核心“Rome”、“第 3 代米兰”和第 4 代“Genoa”的 EPYC 服务器 CPU。

Google 已对受影响的资产（包括 Google Cloud）采取修复措施，以确保客户受到保护。目前，我们尚未发现任何利用漏洞的证据，也未向 Google 报告此类攻击的证据。

该怎么做？

客户无需采取任何行动。

修复方案已应用到 Google Cloud 的 Google 服务器群，包括 Google Compute Engine。

解决了哪些漏洞？

该补丁缓解了以下漏洞：

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

如需了解详情，请参阅 AMD 的安全公告 AMD-SN-3005：“AMD INVD Instruction Security Notifications”（也以 CacheWarp 形式发布）和 AMD-SN-3002：“AMD Server Vulnerabilities - 2023 年 11 月”。

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel 披露了部分处理器中存在的 CPU 漏洞。Google 已采取措施减少其服务器群（包括适用于 Google Cloud 的 Google Compute Engine 和 ChromeOS 设备）的数量，以确保客户得到保护。

漏洞详情如下：

• CVE-2023-23583

该怎么做？

客户无需采取任何行动。

Intel 针对受影响的处理器提供的缓解措施已应用于 Google 服务器群，包括适用于 Google Cloud 的 Google Compute Engine。

目前，Google Distributed Cloud Edge 要求 OEM 进行更新。更新发布后，Google 将修复此产品，并相应地更新本公告。

搭载受影响处理器的 ChromeOS 设备已在版本 119、118 和 114 (LTS) 中自动接收修复程序。

解决了哪些漏洞？

CVE-2023-23583。如需了解详情，请参阅 Intel 安全建议 INTEL-SA-00950。

2023 年 11 月 15 日更新：澄清只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4147

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 12 月 5 日更新：为 Container-Optimized OS 节点池添加了其他 GKE 版本。

2023 年 11 月 21 日更新：澄清只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4004

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 11 月 21 日更新：澄清只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4921

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 11 月 21 日更新：澄清只有列出的次要版本需要升级到 GKE 的相应修补版本。

2023 年 11 月 16 日更新：与此安全公告关联的漏洞为 CVE-2023-4622。CVE-2023-4623 之前版本的安全公告中被错误地列为漏洞。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 11 月 21 日更新：澄清只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4623

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 11 月 21 日更新：澄清只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4015

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

Deep Learning VM Image 是一组预先打包的虚拟机映像，具有深度学习框架，可立即运行。最近，在“libwebp”库的“ReadHuffmanCodes()”函数中发现了越界写入漏洞。这可能会影响使用此库的映像。

Google Cloud 会持续扫描其公开发布的映像并更新软件包，以确保修补后的发行版包含在可供客户使用的最新版本中。Deep Learning VM Image 已更新，可确保最新的虚拟机映像包含修补后的发行版。采用最新虚拟机映像的客户不会受到此漏洞的影响。

该怎么做？

使用已发布的虚拟机映像的 Google Cloud 客户应确保其采用最新的映像，并确保其环境已根据责任共担模型完全更新到最新版本。

CVE-2023-4863 可能会被攻击者用来执行任意代码。116.0.5845.187 之前的 Google Chrome 以及 1.3.2 之前的“libwebp”中发现了此漏洞，它列于 CVE-2023-4863 下。

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 11 月 21 日更新：澄清只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

VMware 在 VMSA-2023-0023 中披露了多个影响客户环境中部署的 vCenter 组件的漏洞。

Cloud Customer Care 的影响

• 攻击者可通过访问 vCenter Server 中的特定端口来利用此漏洞。这些端口不会向公共互联网公开。
• 如果您的 vCenter 端口 2012/tcp、2014/tcp 和 2020/tcp 不可被不受信任的系统访问，则您不会面临此漏洞。
• Google 已屏蔽 vCenter Server 上易受攻击的端口，以防止此漏洞任何潜在的攻击。
• 此外，Google 将确保 vCenter Server 未来的所有部署都不会受到此漏洞的影响。
• 在公告发布时，VMware 并不知道任何“实际的”漏洞利用行为。如需了解详情，请参阅 VMware 文档。

该怎么做？

目前不需要采取进一步的措施。

2023 年 12 月 21 日更新：明确指出默认配置中的 GKE Autopilot 集群不受影响，GKE Sandbox 工作负载不受影响。

2023 年 11 月 21 日更新：澄清只有列出的次要版本需要升级到 GKE 的相应修补版本。

在 Linux 内核中发现了以下漏洞，可能会导致 Container-Optimized OS 和 Ubuntu 节点提权。

• CVE-2023-3777

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 11 月 3 日更新：添加了 Apigee Edge for Private Cloud 的已知问题。

近期，我们在 HTTP/2 协议 (CVE-2023-44487) 的多个实现中发现了一个拒绝服务攻击 (DoS) 漏洞，其中包括 Apigee X 和 Apigee Hybrid 使用的 Apigee Ingress (Anthos Service Mesh) 服务。该漏洞可能会导致 Apigee API 管理功能遭受 DoS 攻击。

如需查看说明和更多详细信息，请参阅 Apigee 安全公告。

使用 HTTP/2 协议时，拒绝服务攻击可能会影响数据平面。如需了解相关说明和更多详细信息，请参阅 Anthos Service Mesh 安全公告。

2024 年 3 月 20 日更新：添加了针对 GKE on AWS 和 GKE on Azure 的补丁版本，以及针对 CVE-2023-44487 的最新补丁。

2024 年 2 月 14 日更新：添加了 GKE on VMware 的补丁版本。

2023 年 11 月 9 日更新：添加了 CVE-2023-39325。使用针对 CVE-2023-44487 和 CVE-2023-39325 的最新补丁更新了 GKE 版本。

我们最近在 HTTP/2 协议 (CVE-2023-44487) 的多个实现中发现了一个拒绝服务攻击 (DoS) 漏洞，其中包括 Kubernetes 使用的 golang HTTP 服务器。该漏洞可能会导致 Google Kubernetes Engine (GKE) 控制平面遭受 DoS 攻击。已配置授权网络的 GKE 集群会受到网络访问权限限制，但所有其他集群都会受到影响。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

TorchServe 用于托管 PyTorch 机器学习模型以进行在线预测。Vertex AI 提供依赖于 TorchServe 的预构建 PyTorch 模型部署容器。最近在 TorchServe 中发现了漏洞，如果其模型管理 API 公开，攻击者可以利用这些漏洞控制 TorchServe 部署。将 PyTorch 模型部署到 Vertex AI 在线预测的客户不受这些漏洞的影响，因为 Vertex AI 不会公开 TorchServe 的模型管理 API。在 Vertex AI 之外使用 TorchServe 的客户应采取预防措施来确保其部署得到安全设置。

该怎么做？

使用 Vertex AI 的预构建 PyTorch 服务容器并采用已部署模型的 Vertex AI 客户不需要执行任何操作来修复漏洞，因为 Vertex AI 的部署不会向互联网公开 TorchServe 的管理服务器。

在其他环境中使用预构建 PyTorch 容器或者使用定制或第三方分发 TorchServe 的客户应执行以下操作：

• 确保 TorchServe 模型管理 API 未向互联网公开。只有确保将 management_address 绑定到 127.0.0.1，才能将模型管理 API 限制为本地访问。
• 使用 allowed_urls 设置可确保模型只能从预期来源加载。
• 请尽快将 TorchServe 升级到 0.8.2 版（其中包含此问题的缓解措施）。为保险起见，Vertex AI 将于 2023 年 10 月 13 日发布已修复的预构建容器。

解决了哪些漏洞？

在大多数 TorchServe Docker 映像中（包括由 Vertex AI 发布的映像），TorchServe 的管理 API 都是默认绑定到 0.0.0.0，使其可被外部请求访问。在 TorchServe 0.8.2 中，管理 API 的默认 IP 地址更改为 127.0.0.1，从而缓解了此问题。

CVE-2023-43654 和 CVE-2022-1471 允许有权访问管理 API 的用户从任意来源加载模型并远程执行代码。TorchServe 0.8.2 中添加了这两个问题的缓解措施：移除远程代码执行路径；如果使用 allowed_urls 的默认值，则会发出警告。

客户可以将 Google Security Operations 配置为使用注入 Feed 从客户拥有的 Cloud Storage 存储分区中注入数据。不久之前，Google 安全运维套件提供了一个共享服务帐号，客户通过该账号授予对存储桶的权限。这样就可以将一位客户的 Google Security Operations 实例配置为从另一位客户的 Cloud Storage 存储桶中注入数据。我们进行影响分析后，并未发现任何攻击者当前或以前曾利用此漏洞。2023 年 9 月 19 日之前的所有版本的 Google Security Operations 都存在此漏洞。

该怎么做？

截至 2023 年 9 月 19 日，Google 安全运维套件已更新，以应对此漏洞。客户无需采取任何行动。

解决了哪些漏洞？

之前，Google 安全运维套件提供了一个共享服务帐号，客户可使用该帐号授予对存储桶的权限。由于不同的客户向其授予了同一 Google Security Operations 服务帐号对其存储桶的权限，因此存在一个漏洞攻击途径，在创建或修改 Feed 时，该客户的 Feed 可以访问其他客户的存储桶。此漏洞利用攻击途径需要知道存储桶 URI 的信息。现在，在创建或修改 Feed 时，Google Security Operations 会为每位客户使用唯一的服务账号。

VMware vCenter Server 更新解决了多个内存损坏漏洞（CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896）

客户服务影响

VMware vCenter Server (vCenter Server) 和 VMware Cloud Foundation (Cloud Foundation)。

该怎么做？

客户不会受到影响，无需执行任何操作。

• CVE-2023-20893

在 Kubernetes 中发现了三个漏洞（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893），利用这些漏洞，可以在 Windows 节点上创建 Pod 的用户也许能够升级到这些节点上的管理员权限。以下漏洞会影响 Windows 版本的 Kubelet 和 Kubernetes CSI 代理。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

Intel 最近宣布了 Intel Security Advisory INTEL-SA-00828，这会影响部分处理器系列。我们鼓励您根据建议评估风险。

对 Google Cloud VMware Engine 的影响

我们的舰队会使用受影响的处理器系列。在我们的部署中，整个服务器专用于一个客户。因此，我们的部署模型不会对此漏洞的评估增添任何风险。

我们正在与合作伙伴合作，以获取必要的补丁，还将在未来几周内使用标准升级流程在整个舰队中优先部署这些补丁。

该怎么做？

您无需执行任何操作，我们正在努力升级所有受影响的系统。

• CVE-2022-40982

2023 年 8 月 10 日更新：添加了 ChromeOS LTS 版本号。

Intel 披露了部分处理器中存在的漏洞 (CVE-2022-40982)。Google 已采取措施减少其服务器群（包括 Google Cloud）的数量，以确保客户得到保护。

漏洞详情如下：

• CVE-2022-40982（Intel IPU 2023.3，“GDS”，也称为“故障”）

该怎么做？

客户无需采取任何行动。

所有可用补丁均已应用到 Google Cloud 的 Google 服务器群，包括 Google Compute Engine。

目前，以下产品需要从合作伙伴和供应商处获取额外更新。

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Google Cloud 裸金属解决方案
• 改进的数据包核心

在推出这些补丁后，Google 将修复这些产品，并相应地更新本公告。

Google Chromebook 和 ChromeOS Flex 客户自动收到了 Intel 在稳定版 (115)、LTS (108)、Beta 版 (116) 和 LTC (114) 中提供的缓解措施。固定到较低版本的 Chromebook 和 ChromeOS Flex 客户应考虑取消固定并迁移到稳定版或 LTS 版本，以确保能够收到此修复和其他漏洞修复。

解决了哪些漏洞？

CVE-2022-40982 - 如需了解详情，请参阅 Intel 安全建议 INTEL-SA-00828。

AMD 披露了部分处理器中存在的漏洞 (CVE-2023-20569)。Google 已采取措施减少其服务器群（包括 Google Cloud）的数量，以确保客户得到保护。

漏洞详情如下：

• CVE-2023-20569（AMD SB-7005，也称为“Inception”）

该怎么做？

如果使用实例内不受信任的代码执行，Compute Engine 虚拟机的用户应考虑操作系统提供的缓解措施。我们建议客户联系其操作系统供应商，以获取更具体的指导。

修复方案已应用到 Google Cloud 的 Google 服务器群，包括 Google Compute Engine。

解决了哪些漏洞？

CVE-2023-20569 - 如需了解详情，请参阅 AMD SB-7005。

Google 在 gRPC C++ 1.57 版之前的实现代码中发现了一个漏洞。拒绝服务攻击漏洞。这些漏洞已在 1.53.2、1.54.3、1.55.2、1.56.2 和 1.57 版本中修复。

该怎么做？

确保您使用的是以下软件包的最新版本：

• gRPC（C++、Python、Ruby）版本 1.53、1.54、1.55 和 1.56 需要升级到以下补丁版本：
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• gRPC（C++、Python、Ruby）版本 1.52 及更早版本需要升级到某个已获批准的补丁版本。例如，1.53.2、1.54.3、1.53.4 等。

解决了哪些漏洞？

这些补丁解决了以下漏洞：

• gRPC C++ 实现代码中的拒绝服务攻击漏洞：特别设计的请求可能导致代理和后端之间的连接终止。

以下 CVE 会导致 Anthos Service Mesh 面临可利用的漏洞：

• CVE-2023-35941：在某些特定场景中，恶意客户端能够构建具有永久有效的凭据。 例如，HMAC 载荷中的主机和到期时间组合在 OAuth2 过滤器的 HMAC 检查中可能始终有效。
• CVE-2023-35942：使用监听器全局范围的 gRPC 访问日志记录器可能会在监听器排空时导致“释放后使用”崩溃。这可以由具有相同 gRPC 访问日志配置的 LDS 更新触发。
• CVE-2023-35943：如果将 origin 标头配置为使用 request_headers_to_remove: origin 移除，CORS 过滤器将 segfault 并使 Envoy 崩溃。
• CVE-2023-35944：攻击者可以发送混合方案请求，以绕过 Envoy 中的方案检查。例如，如果将混合架构 HTTP 的请求发送到 OAuth2 过滤器，将无法通过 HTTP 的完全匹配检查，并告知远程端点架构是 HTTPS，因此可能会绕过特定于 HTTP 请求的 OAuth2 检查。

如需了解相关说明和更多详细信息，请参阅 Anthos Service Mesh 安全公告。

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD 发布了一项微代码更新，用于解决硬件安全漏洞 (CVE-2023-20593)。Google 已对其服务器群（包括 Google Cloud Platform 的服务器）应用针对此漏洞的必要修复。测试表明，系统性能不会受到任何影响。

该怎么做？

客户无需执行任何操作，因为修复已应用于 Google Cloud Platform 的 Google 服务器群。

解决了哪些漏洞？

CVE-2023-20593 解决了某些 AMD CPU 中的漏洞。如需了解详情，请点击此处。

我们在 Envoy 中发现了一个新的漏洞 (CVE-2023-35945)。该漏洞来自不受信任的上游服务，可能会导致系统因内存耗尽而导致拒绝服务攻击。这是由 Envoy 的 HTTP/2 编解码器导致的，该编解码器可能会在收到 RST_STREAM（紧随其后）紧跟来自上游服务器的 GOAWAY 帧时泄露标头映射和簿记结构。

如需了解相关说明和更多详细信息，请参阅 Anthos Service Mesh 安全公告。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-2235)，此漏洞可能会导致节点上的权限提升。GKE Autopilot 集群会受到影响，因为 GKE Autopilot 节点始终使用 Container-Optimized OS 节点映像。运行 Container-Optimized OS 节点映像的 1.25 版或更高版本的 GKE Standard 集群会受到影响。

如果 GKE 集群仅运行 Ubuntu 节点映像、运行 1.25 之前的版本或使用 GKE Sandbox，则不会受到影响。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 7 月 11 日更新：新的 GKE 版本已更新，包含修补 CVE-2023-31436 的最新 Ubuntu 版本。

在 Linux 内核中发现了一个新漏洞 (CVE-2023-31436)，此漏洞可能会导致节点上的权限提升。GKE 集群（包括 Autopilot 集群）会受到影响。使用 GKE Sandbox 的 GKE 集群不受影响。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

我们在 Envoy 中发现了许多漏洞，Envoy 用于 Anthos Service Mesh，让恶意攻击者能够发起拒绝服务攻击或让 Envoy 崩溃。这些漏洞单独报告为 GCP-2023-002。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在 Linux 内核中发现了一个新的漏洞 CVE-2023-0468，当 io_poll_get_ownership 持续增加每个 io_poll_wake 上的 req->poll_refs 然后溢出到 0 时，无特权的用户可以将权限提升到 root 权限，这会使 fput req->file 两次并导致结构文件引用问题。使用 Linux 内核版本 5.15 的 Container-Optimized OS 的 GKE 集群（包括 Autopilot 集群）会受到影响。使用 Ubuntu 映像或 GKE Sandbox 的 GKE 集群不受影响。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 8 月 11 日更新 ：添加了适用于 GKE on VMware、GKE on AWS、GKE on Azure 和 Google Distributed Cloud Virtual for Bare Metal 的补丁版本。

在 Kubernetes 中发现了两个新的安全问题：使用临时容器以及 ImagePolicyWebhook (CVE-2023-2727) 或 ServiceAccount 准入插件 (CVE-2023-2728) 时，用户可能能够启动绕过政策限制的容器。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在项目中启用 Cloud Build API 时，Cloud Build 会自动创建一个默认服务帐号来代表您执行构建。此 Cloud Build 服务帐号之前具有 logging.privateLogEntries.list IAM 权限，该权限允许构建默认访问列出私密日志。为了遵守最小权限安全原则，我们已从 Cloud Build 服务帐号撤消此权限。

如需查看说明和更多详细信息，请参阅 Cloud Build 安全公告。

Google 在 gRPC C ++ 实现代码中发现了三个新漏洞。这些内容很快就会公开发布为 CVE-2023-1428、CVE-2023-32731 和 CVE-2023-32732。

4 月，我们在 1.53 和 1.54 版本中发现了两个漏洞。其中一个是 gRPC C++ 实现代码中存在的拒绝服务攻击漏洞，另一个是远程数据渗漏漏洞。这些漏洞已在 1.53.1、1.54.2 和更高版本中得到修复。

早在 3 月份，我们的内部团队在执行常规模糊测试活动时，在 gRPC 的 C++ 实现代码中发现了一个拒绝服务攻击漏洞。该漏洞在 gRPC 1.52 版本中发现，并在 1.52.2 和 1.53 版本中得到修复。

该怎么做？

确保您使用的是以下软件包的最新版本：

• grpc（C++、Python、Ruby）版本 1.52、1.53 和 1.54 需要升级至以下补丁版本；
• 1.52.2
• 1.53.1
• 1.54.2
• grpc（C++、Python、Ruby）版本 1.51 及更早版本不受影响，因此使用这些版本的用户无法采取任何措施

这些补丁修复了哪些漏洞？

这些补丁解决了以下漏洞：

• 1.53.1、1.54.2 和更高版本解决了以下漏洞：gRPC C++ 实现代码中的拒绝服务攻击漏洞。特别设计的请求可能会导致代理和后端之间的连接终止。远程数据渗漏漏洞：由于标头大小限制，HPACK 表中的去同步化处理可能导致代理后端从连接到代理的其他客户端泄露标头数据。
• 1.52.2、1.53 和更高版本解决了以下漏洞：gRPC C++ 实现代码中存在的拒绝服务攻击漏洞。解析某些特别设计的请求可能会导致影响服务器的崩溃。

我们建议升级到上面列出的以下软件包的最新版本。

我们在 Secrets-store-csi-driver 中发现了一个新的漏洞 (CVE-2023-2878)，该漏洞可让有权访问驱动程序日志的执行者观察到服务帐号令牌。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在 Linux 内核中发现了一个新漏洞 (CVE-2023-1872)，此漏洞可能会导致节点上的权限提升为 root。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

最近在 Cloud SQL for SQL Server 中发现了一个漏洞，该漏洞允许客户的管理员帐号在 tempdb 数据库中创建触发器，并使用这些触发器在实例中获得 sysadmin 权限。sysadmin 特权将授予攻击者对系统数据库的访问权限，以及对运行该 SQL Server 实例的机器的部分访问权限。

Google Cloud 在 2023 年 3 月 1 日之前修复了安全漏洞，从而解决了此问题。Google Cloud 未发现任何已破解的客户实例。

如需查看说明和更多详细信息，请参阅 Cloud SQL 安全公告。

2023-06-06 更新：新的 GKE 版本已更新，现在包含可修补 CVE-2023-1281 和 CVE-2023-1829 的最新 Ubuntu 版本。

在 Linux 内核中发现了两个新漏洞（CVE-2023-1281、CVE-2023-1829），这些漏洞可能会导致节点上的权限提升为 root。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在可信平台模块 (TPM) 2.0 中发现了两个漏洞（CVE-2023-1017 和 CVE-2023-1018）。

这些漏洞可能会让复杂的攻击者利用某些 Compute Engine 虚拟机上的 2 字节出界读/写操作。

如需查看说明和更多详细信息，请参阅 Compute Engine 安全公告。

• CVE-2023-1017
• CVE-2023-1018

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

在 Linux 内核中发现了两个新漏洞：CVE-2023-0240 和 CVE-2023-23586，无特权的用户可能会提升权限。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

以下 CVE 会导致 Anthos Service Mesh 面临可利用的漏洞：

• CVE-2023-27496：如果 Envoy 在运行且已启用 OAuth 过滤器的情况下启用，则恶意操作者可能会构建一个请求，导致 Envoy 崩溃导致拒绝服务攻击。
• CVE-2023-27488：在使用 ext_authz 时，攻击者可利用此漏洞绕过身份验证检查。
• CVE-2023-27493：Envoy 配置还必须包含一个选项，用于添加使用请求中的输入（例如对等证书 SAN）生成的请求标头。
• CVE-2023-27492：攻击者可以针对已启用 Lua 过滤器并触发崩溃的路由发送大型请求正文。
• CVE-2023-27491：攻击者可以发送专门设计的 HTTP/2 或 HTTP/3 请求，以触发 HTTP/1 上游服务的解析错误。
• CVE-2023-27487：标头“x-envoy-original-path”应为内部标头，但对于从不受信任的客户端发送的请求，Envoy 不会在请求处理开始时从请求中移除此标头。

如需了解相关说明和更多详情，请参阅 Anthos Service Mesh 安全公告：

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

我们在 Linux 内核中发现了一个新的漏洞 (CVE-2022-4696)，该漏洞可能会导致节点提权。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在 OpenSSL v3.0.6 中发现了两个新漏洞（CVE-2022-3786 和 CVE-2022-3602），这可能会导致崩溃。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

• CVE-2022-3786
• CVE-2022-3602

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 1 月 19 日更新：添加了 GKE 1.21.14-gke.14100 版本可用的信息。

在 OpenSSL v3.0.6 中发现了两个新漏洞（CVE-2022-3786 和 CVE-2022-3602），这可能会导致崩溃。

有关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

• CVE-2022-3786
• CVE-2022-3602

2023 年 1 月 19 日更新：添加了 GKE 1.21.14-gke.14100 版本可用的信息。

2022 年 12 月 16 日更新：添加了 GKE 和 GKE on VMware 的补丁版本。

Linux 内核中发现了两个新漏洞（CVE-2022-2585 和 CVE-2022-2588），这些漏洞可能会导致容器被完全破解到节点上。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

• CVE-2022-2585
• CVE-2022-2588

在 Anthos Service Mesh 中使用的 Istio 中发现了安全漏洞 CVE-2022-39278，该漏洞可让恶意攻击者破坏控制平面。

如需相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2022 年 12 月 14 日更新：添加了 GKE 和 GKE on VMware 的补丁版本。

在 Linux 内核中发现了一个新漏洞 CVE-2022-20409，该漏洞可让无特权的用户升级到系统执行特权。

如需相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2023 年 1 月 19 日更新：添加了 GKE 1.21.14-gke.14100 版本可用的信息。

2022 年 12 月 15 日更新：更新了相关信息，指明 Google Kubernetes Engine 1.21.14-gke.9400 版本正在等待发布，可能会被更高的版本号所取代。

2022 年 11 月 22 日更新：添加了 GKE on VMware、GKE on AWS 和 GKE on Azure 的补丁版本。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-3176)，该漏洞可能会导致本地权限提升。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

如需相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

Istio 控制平面 istiod 容易受到请求处理错误的影响，恶意攻击者可能会发送特制消息，从而导致在集群验证 webhook 公开泄露时，控制平面发生崩溃。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

如需了解相关说明和更多详情，请参阅 Anthos Service Mesh 安全公告。

ProtocolBuffer 的 C++ 和 Python 实现中有一个消息解析和内存管理漏洞，那么在处理专门编写的消息时，可能会触发内存不足 (OOM) 故障。这可能会导致使用该库的服务出现拒绝服务攻击 (DoS)。

该怎么做？

确保您使用的是以下软件包的最新版本：

• protobuf-cpp（3.18.3、3.19.5、3.20.2、3.21.6）
• protobuf-python（3.18.3、3.19.5、3.20.2、4.21.6）

该补丁解决了哪些漏洞？

该补丁程序解决了以下漏洞：

一种特别构造的简短消息，会导致正在运行的服务分配大量 RAM。如果请求规模较小，则表示攻击者很容易利用漏洞并耗尽资源。如果使用不受信任的 protobuf 的 C++ 和 Python 系统在其 RPC 请求中包含 MessageSet 对象，则可能会受到 DoS 攻击。

2023 年 12 月 21 日更新：澄清默认配置中的 GKE Autopilot 集群不受影响。

2022 年 9 月 14 日更新：添加了 GKE on VMware、GKE on AWS 和 GKE on Azure 的补丁版本。

我们在 Linux 内核中发现了一个新漏洞 (CVE-2022-2327)，该漏洞可能会导致本地权限升级。此漏洞允许无特权的用户实现完全的容器逃逸，从而获得节点的 root 权限。

如需相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2022 年 11 月 22 日更新：使用 GKE Sandbox 的工作负载不受这些漏洞的影响。

2022 年 7 月 21 日更新：有关 GKE on VMware 的更多信息。

在 Linux 内核版本 5.10 和 5.11 中发现了一个新漏洞 (CVE-2022-1786)。此漏洞允许具有集群本地访问权限的非特权用户实现完全的容器逃逸 (container breakout)，从而获得节点的 root 权限。只有运行 Container-Optimized OS 的集群会受到影响。GKE Ubuntu 版本使用内核版本 5.4 或 5.15，并且不受影响。

有关说明和更多详细信息，请参阅：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2022-11-22 更新：Autopilot 集群不受 CVE-2022-29581 的影响，但容易受到 CVE-2022-29582 和 CVE-2022-1116 的攻击。

我们在 Linux 内核中发现了三个新的内存损坏漏洞（CVE-2022-29581、CVE-2022-29582、CVE-2022-1116）。这些漏洞允许对集群具有本地访问权限的非特权用户实现完整的容器逃逸，以对节点上的 root 权限。所有 Linux 集群（Container-Optimized OS 和 Ubuntu）都会受到影响。

如需相关说明和更多详细信息，请参阅以下公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

2022 年 6 月 10 日更新：Anthos Service Mesh 版本已更新。如需了解相关说明和更多详细信息，请参阅 Anthos Service Mesh 安全公告。

以下 Envoy 和 Istio CVE 导致 GKE 上的 Anthos Service Mesh 和 Istio 遭到可远程利用的漏洞攻击：

• CVE-2022-31045：启用元数据交换和统计信息扩展后，Istio 数据平面可能会以不安全的方式访问内存。
• CVE-2022-29225：如果恶意攻击者传递高度压缩的小型有效载荷（zip 炸弹攻击），数据可能会超出中间缓冲区限制。
• CVE-2021-29224：GrpcHealthCheckerImpl 中可能出现 null 指针解引用。
• CVE-2021-29226：OAuth 过滤器允许轻微绕过。
• CVE-2022-29228：OAuth 过滤器可能会损坏内存（旧版）或触发 ASSERT()（更高版本）。
• CVE-2022-29227：包含正文或预告片的请求的内部重定向崩溃。

如需了解相关说明和更多详细信息，请参阅 Anthos Service Mesh 安全公告。

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

2022 年 11 月 22 日更新：在 GKE Sandbox 中运行的 GKE Autopilot 集群和工作负载不受影响。

2022 年 5 月 12 日更新：GKE on AWS 和 GKE on Azure 版本已更新。如需了解相关说明和更多详细信息，请参阅：

• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

---

在 Linux 内核中发现了两个安全漏洞：CVE-2022-1055 和 CVE-2022-27666。每个漏洞都可能导致本地攻击者能够对容器执行容器入侵和/或权限提升。这些漏洞会影响所有 GKE 节点操作系统（Container-Optimized OS 和 Ubuntu）。如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

在 OCI 映像卷规范中，containerd 在处理路径遍历时发现了安全漏洞 CVE-2022-23648。使用精心设计的映像配置通过 containerd 的 CRI 实现启动的容器可以获得对主机上任意文件和目录的完全读取权限。此漏洞可能会绕过对容器设置的任何基于政策的违规处置（包括 Kubernetes Pod 安全政策）。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2022 年 11 月 22 日更新：对于这两种模式（标准模式和 Autopilot 模式）的 GKE 集群，使用 GKE Sandbox 的工作负载不受影响。

我们已在 Linux 内核 5.8 版及更高版本中发现安全漏洞 CVE-2022-0847，此漏洞可能会将容器权限升级为 root。此漏洞会影响以下产品：

• 使用 Container-Optimized OS 映像的 GKE 节点池版本 1.22 及更高版本（Container-Optimized OS 93 及更高版本）
• 适用于 Container-Optimized OS 映像的 GKE on VMware v1.10
• GKE on AWS v1.21 和 GKE on AWS（上一代）v1.19、v1.20、v1.21，使用 Ubuntu
• 使用 Ubuntu 的 GKE on Azure v1.21 托管式集群

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2022 年 8 月 11 日更新：增加了有关并发多线程 (SMT) 配置的更多信息。SMT 原本应停用，但但在列出的版本中启用了 SMT。

如果您为沙盒化节点池手动启用 SMT，则尽管存在此问题，SMT 仍将保持手动启用状态。

GKE Sandbox 映像上的并发多线程 (SMT)（也称为超线程）配置错误。配置错误可能会使节点面临微通道数据抽样 (MDS) 等边信道攻击（如需更多背景信息，请参阅 GKE Sandbox 文档）。我们不建议您使用以下受影响的版本：

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

如需了解说明和更多详细信息，请参阅 GKE 安全公告。

以下 Istio CVE 会使 Anthos Service Mesh 暴露于可远程利用的漏洞：

• CVE-2022-24726：Istio 控制平面“istiod”容易受到请求处理错误的影响，允许恶意攻击者发送特制消息，导致在集群的验证 webhook 公开泄露时，控制平面崩溃。此端点通过 TLS 端口 15017 提供，但不需要攻击者进行任何身份验证。

如需相关说明和更多详细信息，请参阅以下安全公告：

• Anthos Service Mesh 安全公告。

• CVE-2022-24726

用于访问 GKE Autopilot 集群上的节点虚拟机的一些意外路径可能已被用来提升集群中的权限。这些问题已得到解决，无需采取进一步措施。这些修复解决了通过漏洞奖励计划报告的问题。

如需了解相关说明和更多详情，请参阅 GKE 安全公告

2022 年 4 月 28 日更新 ：添加了用于修复这些漏洞的 GKE on VMware 版本。如需了解详情，请参阅 GKE on VMware 安全公告。

• CVE-2022-23606：通过集群发现服务 (CDS) 删除集群时，为该集群中端点建立的所有空闲连接都会断开连接。Envoy 1.19 版在断开空闲连接的过程中错误地引入了递归机制，当集群具有大量空闲连接时，可能会导致堆栈耗尽和异常进程终止。
• CVE-2022-21655：Envoy 的内部重定向代码假定存在路由条目。如果对具有直接响应条目而没有路由条目的路由进行内部重定向，则会导致解引用 Null 指针并崩溃。
• CVE-2021-43826：如果 Envoy 配置为使用上游隧道（通过 HTTP）和下游 TLS 终结的 tcp_proxy，如果下游客户端在 TLS 握手期间断开连接，而上游 HTTP 流仍在建立过程中，则 Envoy 将崩溃。下行断开连接可以由客户端或服务器发起。客户端可以因任何原因断开连接。例如，如果服务器没有与客户端兼容的 TLS 加密或 TLS 协议版本，可能会断开连接。在其他下游配置中也可能会触发此崩溃。
• CVE-2021-43825：发送本地生成的响应必须停止进一步处理请求或响应数据。Envoy 会跟踪已缓冲的请求和响应数据量，如果缓冲数据量超过限制，通过发送 413 或 500 响应来中止该请求。但是，如果由于内部缓冲区溢出而发送本地生成的响应，而过滤器链处理响应，则操作可能无法正确中止，并会导致访问已释放的内存块。
• CVE-2021-43824：将 JWT 过滤器与“safe_regex”匹配规则和特制的请求（如“CONNECT host:port HTTP/1.1”）一起使用时，Envoy 发生崩溃。当到达 JWT 过滤器时，“safe_regex”规则应评估网址路径，但此处没有任何路径，并且 Envoy 会崩溃并出现分段错误。
• CVE-2022-21654：重新配置 mTLS 验证设置后，Envoy 会错误地允许恢复 TLS 会话。如果旧配置允许使用某客户端证书，但新配置不允许使用该客户端证书，则客户端可以恢复之前的 TLS 会话，即使当前配置应禁止该会话。对以下设置所做的更改会受到影响：
  • match_subject_alt_names
  • CRL 变更
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657：Envoy 不会将它从对等方（无论是作为 TLS 客户端还是 TLS 服务器）接受的证书集限制为仅包含必要的 extensionsKeyUsage（分别为 id-kp-serverAuth 和 id-kp-clientAuth）的证书。这意味着对等方可以提供电子邮件证书（例如 id-kp-emailProtection），作为链中的叶证书或 CA，并且它会被 TLS 接受。与 CVE-2022-21656 结合使用时，这种做法尤为糟糕，因为它可以让仅用于 S/MIME 的 Web PKI CA 颁发审核或监管下的 TLS 证书，而 Envoy 可以接受。
• CVE-2022-21656：用于实现默认证书验证例程的验证器实现在处理 subjectAltName 时存在“类型混淆”bug。例如，此处理允许将 rfc822Name 或 uniformResourceIndicator 作为域名进行身份验证。这种混淆允许绕过由底层 OpenSSL/BoringSSL 实现处理的 nameConstraints，从而有可能被冒充任意服务器。

• Anthos Service Mesh 安全公告

• GKE 上的 Istio 安全公告

• GKE
• GKE on VMware
• Google Distributed Cloud Virtual for Bare Metal

以下 Envoy 和 Istio CVE 会将 Anthos Service Mesh 和 Istio on GKE 暴露给可被远程利用的漏洞：

• CVE-2022-23635：Istiod 在接收包含蓄意创建的 authorization 标头的请求时会崩溃。
• CVE-2021-43824：使用 JWT 过滤器 safe_regex 匹配时可能出现的 null 指针解引用
• CVE-2021-43825：当响应过滤器增加响应数据，而增加的数据超过下游缓冲区限制时，释放后使用。
• CVE-2021-43826：通过 HTTP 隧道建立 TCP 隧道时出现的释放后使用；如果在上游连接建立期间下行断开连接，请选择此选项。
• CVE-2022-21654：错误的配置处理允许 mTLS 会话在验证设置发生更改后重用，而无需重新验证。
• CVE-2022-21655：对指向具有直接响应条目的路由的内部重定向的处理方式不正确。
• CVE-2022-23606：通过集群发现服务删除集群时堆栈耗尽。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• Anthos Service Mesh 安全公告。
• Istio on GKE 安全公告。

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

2022 年 5 月 16 日更新：在包含可修复此漏洞的代码的版本列表中添加了 GKE 1.19.16-gke.7800 或更高版本。如需了解详情，请参阅 GKE 安全公告。

2022 年 5 月 12 日更新：GKE、GKE on VMware、GKE on AWS 和 GKE on Azure 版本已更新。如需了解相关说明和更多详细信息，请参阅：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告

在 Linux 内核的 cgroup_release_agent_write 函数中发现了安全漏洞 CVE-2022-0492。攻击会使用无特权的用户命名空间，在某些情况下，攻击者可以利用此漏洞容器逃逸。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• GKE on Azure 安全公告

在与低于 3.73 或 3.68.1 的 NSS（网络安全服务）版本中找到的 libnss3 易受攻击版本相关联的任何二进制文件中，找到了安全漏洞 CVE-2021-43527。使用 NSS 进行证书验证或其他 TLS、X.509、OCSP 或 CRL 功能的应用可能会受到影响，具体取决于 NSS 的使用/配置方式。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on Azure 安全公告

在 pkexec 中发现了一个安全漏洞 CVE-2021-4034，该漏洞是 Linux 政策套件软件包 (pokit) 的一部分，它会允许经过身份验证的用户执行提升权限攻击。该政策套件通常仅在 Linux 桌面系统上使用，以允许非 root 用户执行受政策约束的操作，例如重新启动系统、安装软件包、重启服务等。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on Azure 安全公告

2022 年 2 月 25 日更新：GKE 版本已更新。如需了解相关说明和更多详情，请参阅：

• GKE 安全公告

2022 年 2 月 23 日更新： GKE 和 GKE on VMware 版本已更新。如需了解相关说明和更多详情，请参阅：

• GKE 安全公告
• GKE on VMware 安全公告

2022 年 2 月 4 日更新：GKE 补丁版本的发布开始日期为 2 月 2 日。

已在 Linux 内核中发现三个安全漏洞：CVE-2021-4154、CVE-2021-22600 和 CVE-2022-0185，其中每个都可能导致容器入侵和/或在主机上发生权限提升。以下漏洞会影响 GKE、GKE on VMware、GKE on AWS（当前版本和上一代产品）以及 GKE on Azure 上的所有节点操作系统（COS 和 Ubuntu）。使用 GKE Sandbox 的 Pod 不受这些漏洞的影响。请参阅 COS 版本说明了解详情。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

解析二进制数据的过程中发现了 protobuf-java 中可能存在的拒绝服务攻击问题。

该怎么做？

确保您使用的是以下软件包的最新版本：

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [JRuby gem] (3.19.2)

Protobuf“javalite”用户（通常是 Android）不受影响。

该补丁程序解决了哪些漏洞？

该补丁程序解决了以下漏洞：

在 Java 中解析未知字段的方式的实现漏洞。通过创建大量导致频繁且重复的垃圾回收暂停的短期对象，小型（约 800 KB）恶意载荷可能会占用解析器几分钟的时间。

在 Kubernetes ingress-nginx 控制器中发现了安全问题 (CVE-2021-25742)。Ingress-nginx 自定义代码段允许检索所有命名空间中的 ingress-nginx 服务账号令牌和 Secret。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

存在一个已知问题，即使用 v1beta1 API 更新 BackendConfig 资源会从其 Service 中移除活跃的 Google Cloud Armor 安全政策。

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

在 GKE on VMware 版本 1.8 和 1.8.1 的 GKE Enterprise Identity Service (AIS) LDAP 模块中发现了一个漏洞，在该漏洞中，用于生成密钥的种子密钥是可预测的。利用此漏洞，经过身份验证的用户可以无限期地添加任意声明和提升权限。

如需了解说明和更多详细信息，请参阅 GKE on VMware 安全公告。

在 Kubernetes 中发现了一个安全漏洞 CVE-2020-8561，某些网络钩子可以将 kube-apiserver 请求重定向到该 API 服务器的专用网络。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

根据 VMware 安全建议 VMSA-2021-0020，VMware 接收到了 vCenter 中多个漏洞的报告。VMware 已推出更新，以在受影响的 VMware 产品中修复这些漏洞。

我们已按照 VMware 安全建议，将 VMware 针对 vSphere 堆栈提供的补丁程序应用于 Google Cloud VMware Engine。此更新解决了 CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008 和 CVE-2021-22010 中所述的安全漏洞。其他非关键安全问题将在即将进行的 VMware 堆栈升级中解决（根据 7 月份发送的提前通知，我们将尽快提供升级的具体时间）。

VMware Engine 影响

根据我们的调查，没有客户受到影响。

该怎么做？

由于 VMware Engine 集群不受此漏洞的影响，因此无需采取进一步行动。

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

在限定条件下，某些路由到启用了 Identity-Aware Proxy (IAP) 的后端服务的 Google Cloud 负载均衡器可能容易受到不可信方的攻击。此举措可解决用户通过我们的漏洞奖励计划报告的一个问题。

• 是 HTTP(S) 负载均衡器并且
• 使用默认后端或具有通配符主机映射规则（即 host="*"）的后端

此外，组织中的某个用户必须点击了不可信方发送的专门链接。

此问题现已得到解决。自 2021 年 9 月 17 日起，更新后的 IAP 仅会为获得授权的主机签发 Cookie。如果主机至少与负载均衡器上安装的其中一个证书中的一个主题备用名称 (SAN) 匹配，则该主机会被视为已获得授权。

您需要采取的措施

您的部分用户在尝试访问应用或服务时，可能会遇到带有 IAP 错误代码 52 的 HTTP 401 Unauthorized 响应。此错误代码表示客户端发送的 Host 标头与负载均衡器的 SSL 证书所关联的任何主题备用名称都不匹配。负载均衡器管理员需要更新 SSL 证书，以确保主题备用名称 (SAN) 列表包含所有主机名，用户需通过这些主机名访问受 IAP 保护的应用或服务。详细了解 IAP 错误代码。

在 Kubernetes 中发现了一个安全问题 (CVE-2021-25741)，导致用户可以创建具有子路径卷挂载的容器来访问卷外部的文件和目录，包括主机文件系统。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

2021-09-23 更新：对于源自 GKE Sandbox 中运行的容器的攻击，这些容器不受此漏洞影响。

在 Linux 内核中发现了两个安全漏洞 CVE-2021-33909 和 CVE-2021-33910，可能会导致操作系统崩溃或由无特权用户升级为 root 用户。此漏洞会影响所有 GKE 节点操作系统（COS 和 Ubuntu）。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on AWS 安全公告。

以下 Envoy 和 Istio CVE 导致 GKE 上的 Anthos Service Mesh 和 Istio 遭到可远程利用的漏洞攻击：

• CVE-2021-39156：URI 路径中包含片段（URI 末尾以 # 字符开头的部分）的 HTTP 请求可以绕过 Istio 基于 URI 路径的授权政策。
• CVE-2021-39155：使用基于 hosts 或 notHosts 的规则时，HTTP 请求可能会绕过 Istio 授权政策。
• CVE-2021-32781：影响 Envoy 的 decompressor、json-transcoder 或 grpc-web 扩展程序或专有扩展程序，从而修改或增加请求或响应正文的大小。如果修改和增加 Envoy 扩展中正文超出内部缓冲区大小，可能会导致 Envoy 访问取消分配的内存并异常终止。
• CVE-2021-32780：不受信任的上游服务通过发送 GOAWAY 帧，后跟 SETTINGS 帧，并将 SETTINGS_MAX_CONCURRENT_STREAMS 参数设置为 0，可能会导致 Envoy 异常终止。（不适用于 Istio on GKE）
• CVE-2021-32778：如果 Envoy 客户端打开然后重置大量 HTTP/2 请求，可能会导致 CPU 耗用量过高。（不适用于 Istio on GKE）
• CVE-2021-32777：使用 ext_authz 扩展时，具有多个值标头的 HTTP 请求可能会执行不完整的授权政策检查。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• Anthos Service Mesh 安全公告。
• Istio on GKE 安全公告。

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

发现了新的安全漏洞 CVE-2021-22555，即具有 CAP_NET_ADMIN 特权的恶意操作者有可能会在宿主机上引发容器入侵。此漏洞会影响运行 Linux 2.6.19 或更高版本的所有 GKE 集群和 GKE on VMware。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告。

Microsoft 发布了有关远程代码执行 (RCE) 漏洞的安全公告 CVE-2021-34527，该漏洞会影响 Windows 服务器的打印假脱机程序。CERT 协调中心 (CERT/CC) 发布了一个相关漏洞的更新说明，该补丁程序名为“PrintNightmare”，也影响 Windows 打印后台处理程序 - PrintNightmare, Critical Windows Print Spooler Vulnerability

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

Istio 项目最近宣布存在一个安全漏洞，用户可通过不同的命名空间访问网关和 DestinationRule credentialName 字段中指定的凭据。

如需了解具体产品的说明和更多详情，请参阅：

• Anthos Service Mesh 安全公告。
• GKE Enterprise 安全公告 GCP-2021-012，提供特定于 Google Kubernetes Engine、Google Distributed Cloud Virtual for Bare Metal 和 GKE on VMware 的信息。

2021 年 10 月 19 日更新：

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE on VMware 安全公告
• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

安全社区近期披露了在 runc 中发现的可能允许对节点文件系统进行完全访问的新安全漏洞 (CVE-2021-30465)。

对于 GKE，由于利用此漏洞需要具备创建 Pod 的能力，因此我们将此漏洞的严重性评级为中等。

如需了解相关说明和更多详情，请参阅 GKE 安全公告。

根据 VMware 安全建议 VMSA-2021-0010，VMware 接收到关于 vSphere 客户端 (HTML5) 中的远程代码执行和身份验证绕过漏洞的非公开报告。VMware 已推出更新，以在受影响的 VMware 产品中修复这些漏洞。

我们根据 VMware 安全建议应用了 VMware 针对 vSphere 堆栈提供的补丁程序。此更新解决了 CVE-2021-21985 和 CVE-2021-21986 中所述的安全漏洞。目前，VMware Engine 私有云中运行的映像版本不显示任何指示所应用的补丁程序的更改。请放心，相应的补丁程序已经安装，您的环境将不会受到这些漏洞的影响。

VMware Engine 影响

根据我们的调查，没有客户受到影响。

该怎么做？

由于 VMware Engine 集群不受此漏洞的影响，因此无需采取进一步行动。

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

如果网关配置了 AUTO_PASSTHROUGH 路由配置，则 Istio 包含一个远程可利用的漏洞，攻击者可以利用该漏洞访问集群中的意外服务。

如需了解相关说明和更多详情，请参阅 Anthos Service Mesh 安全公告。

高

Istio 包含一个可远程利用的漏洞，在使用基于路径的授权规则时，如果 HTTP 请求包含多个斜杠或转义的斜杠字符（%2F 或 %5C），该请求可以绕过 Istio 授权政策。

如需了解相关说明和更多详情，请参阅 Anthos Service Mesh 安全公告。

高

Istio 项目最近disclosed了影响 Istio 的新的安全漏洞 (CVE-2021-31920)。

Istio 存在一个可被远程利用的漏洞，在使用基于路径的授权规则时，包含多个斜杠或转义斜杠字符的 HTTP 请求可以绕过 Istio 授权政策。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告

高

报告的漏洞表明，在 Envoy 版本 1.18.2 及更早版本中，Envoy 不会对 HTTP 网址路径中转义的斜杠序列 %2F 和 %5C 进行解码。此外，某些基于 Envoy 的产品不会启用路径归一化控制。远程攻击者可能会制定包含转义斜杠的路径（例如 /something%2F..%2Fadmin,），以绕过访问权限控制（例如 /admin 上的块）。然后，后端服务器可以解码斜杠序列并标准化路径，以便为攻击者提供超出访问控制政策所提供范围的访问权限。

该怎么做？

如果后端服务器以可互换方式处理 / 和 %2F 或\ 和 %5C 并且配置了基于网址路径的匹配，我们建议重新配置后端服务器，使其不可互换方式处理 \ 和 %2F 或 \ 和 %5C（如果可行）。

引入了哪些行为更改？

启用 Envoy 的 normalize_path 和合并相邻斜杠选项，以处理基于 Envoy 的产品中的其他常见路径混淆漏洞。

高

Envoy 和 Istio 项目最近公布了几个新的安全漏洞（CVE-2021-28683、CVE-2021-28682 和 CVE-2021-29258），这些漏洞可能会使攻击者能够崩溃 Envoy。

默认情况下，Google Kubernetes Engine 集群不会运行 Istio，不受此漏洞影响。如果 Istio 已安装在集群中并配置为在互联网上公开服务，这些服务可能容易受到拒绝服务攻击。

Google Distributed Cloud Virtual for Bare Metal 和 GKE on VMware 默认情况下将 Envoy 用于 Ingress，因此 Ingress 服务可能容易遭到拒绝服务攻击。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

中

• CVE-2021-28683
• CVE-2021-28682
• CVE-2021-29258

Kubernetes 项目最近公布了新的安全漏洞 CVE-2021-25735，该安全漏洞会导致节点更新绕过验证准入网络钩子。

如果攻击者拥有足够的权限，并且验证准入网络钩子使用旧的 Node 对象属性（例如 Node.NodeSpec 中的字段）实现，则攻击者可以更新节点的属性，从而危害集群安全。GKE 和 Kubernetes 内置准入控制器强制执行的政策均不会受到影响，但我们建议客户检查他们已安装的任何其他准入网络钩子。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告

中

CVE-2021-25735

根据 VMware 安全建议 VMSA-2021-0002，VMware 接收到了 VMware ESXi 和 vSphere Client (HTML5) 中存在多个漏洞的报告。VMware 已推出更新，以在受影响的 VMware 产品中修复这些漏洞。

我们根据 VMware 安全公告对 vSphere 堆栈应用了官方记录的解决方法。此更新解决了 CVE-2021-21972、CVE-2021-21973 和 CVE-2021-21974 中所述的安全漏洞。

VMware Engine 影响

根据我们的调查，没有客户受到影响。

该怎么做？

由于 VMware Engine 集群不受此漏洞的影响，因此无需采取进一步行动。

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974

近期在 Linux 实用程序 sudo 中发现了一个漏洞（如 CVE-2021-3156 中所述），该漏洞可能会允许具有非特权本地 shell 的攻击者访问安装了 sudo 的系统，将其权限升级为系统 root 权限。

运行 Compute Engine 的底层基础架构不受此漏洞的影响。

所有 Google Kubernetes Engine (GKE)、GKE on VMware、GKE on AWS 和 Google Distributed Cloud Virtual for Bare Metal 集群均不受此漏洞的影响。

如需了解相关说明和更多详细信息，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告
• Google Distributed Cloud Virtual for Bare Metal 安全公告
• Compute Engine 安全公告

更新日期：2021-12-22：下一部分中的 GKE 命令应使用 gcloud beta 而不是 gcloud 命令。

gcloud container clusters update –no-enable-service-externalips

1. 从 GKE 1.21 版开始，具有 ExternalIPs 的服务会被 DenyServiceExternalIPs 准入控制器阻止，该控制器默认针对新集群启用。
2. 升级到 GKE 1.21 版本的客户可以使用以下命令阻止使用 ExternalIP 的服务：

   gcloud container clusters update –no-enable-service-externalips
   

如需了解详情，请参阅强化集群的安全性。

Kubernetes 项目最近发现新的安全漏洞 CVE-2020-8554，它可能允许已获得创建 LoadBalancer 或 ClusterIP 类型 Kubernetes 服务的权限的攻击者拦截来自集群中其他 pod 的网络流量。此漏洞本身不会给予攻击者创建 Kubernetes 服务的权限。

所有 Google Kubernetes Engine (GKE)、GKE on VMware 和 GKE on AWS 集群都会受到此漏洞的影响。

该怎么做？

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告

中

Kubernetes 项目最近发现了多个问题，这些问题导致在启用详细日志记录选项时 Secret 数据泄露。这些问题包括：

• CVE-2020-8563：vSphere 提供商的 kube-controller-manager 日志中发生 Secret 泄露
• CVE-2020-8584：当文件格式错误且日志级别大于等于 4 时，Docker 配置 Secret 发生泄露
• CVE-2020-8565：当日志级别大于等于 9 时，Kubernetes 中 CVE-2019-11250 的不完整的修复程序导致日志中发生令牌泄露。由 GKE 安全发现。
• CVE-2020-8566：当日志级别大于等于 4 时，日志中发生 Ceph RBD adminSecret 泄露

该怎么做？

由于 GKE 的默认详细日志记录级别，无需执行任何进一步操作。

无

• CVE-2020-8563
• CVE-2020-8564
• CVE-2020-8565
• CVE-2020-8566

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) 不受影响。

GKE On-Prem

GKE On-Prem 不受影响。

GKE on AWS

GKE on AWS 不受影响。

CVE-2020-1472 — 通过 Windows Server 中的漏洞，攻击者可以利用 Netlogon 远程协议在网络上的设备上运行特别设计的应用。

NVD 基准值：10（严重）

CVE-2020-1472

Compute Engine

CVE-2020-1472

对于大多数客户而言，无需执行任何额外操作。

使用运行 Windows Server 的 Compute Engine 虚拟机的客户应确保其实例已使用最新的 Windows 补丁程序更新，或使用自 2020 年 8 月 17 日后发布的 Windows Server 映像（v20200813 或更高版本）。

Google Kubernetes Engine

CVE-2020-1472

对于大多数客户而言，无需执行任何额外操作。

任何在其 GKE Server 节点托管网域控制器的客户都应确保节点和在这些节点上运行的容器化工作负载都具有最新 Windows 节点映像（当其可用时）。新的节点映像版本将于 10 月在 GKE 版本说明中公布。

Managed Service for Microsoft Active Directory

CVE-2020-1472

对于大多数客户而言，无需执行任何额外操作。

Microsoft 发布的 8 月补丁程序（包括对 NetLogon 协议的修复）已应用于所有 Managed Microsoft AD 网域控制器。此补丁程序提供了可防范潜在攻击的功能。使用 Managed Service for Microsoft Active Directory 的主要优势是可及时应用补丁程序。所有手动运行 Microsoft Active Directory（且不使用 Google Cloud 代管式服务）的客户都应确保其实例拥有最新的 Windows 补丁程序或使用 Windows Server 映像。

Google Workspace

客户无需采取任何操作。

这项服务不受此漏洞的影响。

App Engine 标准环境

客户无需采取任何操作。

这项服务不受此漏洞的影响。

App Engine 柔性环境

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud Run

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud Functions

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud Composer

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Dataflow

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Dataproc

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud SQL

客户无需采取任何操作。

这项服务不受此漏洞的影响。

近期在 Linux 内核中发现了一个漏洞（如 CVE-2020-14386 中所述），该漏洞可能会使容器逃逸，从而获取对主机节点的 root 权限。

所有 GKE 节点都会受到影响。在 GKE Sandbox 中运行的 Pod 无法利用此漏洞。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告。
• GKE on VMware 安全公告。
• GKE on AWS 安全公告。

高

CVE-2020-14386

最近在 Kubernetes 中发现了一个网络漏洞 CVE-2020-8558。服务有时会使用本地环回接口 (127.0.0.1) 与同一 pod 中运行的其他应用通信。利用此漏洞，有权访问集群网络的攻击者能够将流量发送到相邻 pod 和节点的环回接口。依赖于无法在其 pod 之外访问的环回接口的服务可能会被利用。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告

低（GKE 和 GKE on AWS）、
中等（GKE on VMware）

CVE-2020-8558

CVE-2020-1350 - 本地系统账号可以利用配置为 DNS 服务器的 Windows 服务器来运行不受信任的代码。

NVD 基本得分：10.0（严重）

CVE-2020-1350

Compute Engine

CVE-2020-1350

对于大多数客户而言，无需执行任何额外操作。

使用运行 Windows Server 的 Compute Engine 虚拟机作为 DNS 服务器的客户应确保其实例安装了最新的 Windows 补丁程序，或使用自 2020 年 7 月 14 日后提供的 Windows Server 映像。

Google Kubernetes Engine

CVE-2020-1350

对于大多数客户而言，无需执行任何额外操作。

使用 GKE 和作为 DNS 服务器的 Windows Server 节点的客户必须将节点和在这些节点上运行的容器化工作负载手动更新到包含此修复的 Windows 服务器版本。

Managed Service for Microsoft Active Directory

CVE-2020-1350

对于大多数客户而言，无需执行任何额外操作。

所有代管式 Microsoft AD 网域均已自动使用修补后的映像进行了更新。任何手动运行 Microsoft Active Directory（而不使用代管式 Microsoft AD）的客户应确保其实例安装了最新的 Windows 补丁程序，或使用自 2020 年 7 月 14 日后提供的 Windows Server 映像。

Google Workspace

客户无需采取任何操作。

这项服务不受此漏洞的影响。

App Engine 标准环境

客户无需采取任何操作。

这项服务不受此漏洞的影响。

App Engine 柔性环境

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud Run

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud Functions

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud Composer

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Dataflow

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Dataproc

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud SQL

客户无需采取任何操作。

这项服务不受此漏洞的影响。

最近在 Kubernetes 中发现了一个提权漏洞 CVE-2020-8559。利用此漏洞，已破解节点的攻击者能够在集群中的任何 pod 中执行命令。因此，攻击者可以使用已被破解的节点来破解其他节点并且可能读取信息，或者导致破坏性操作。

请注意，集群中的某个节点必须已被破解，攻击者才能利用此漏洞。此漏洞本身不会破解集群中的任何节点。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告

中

CVE-2020-8559

说明

启用了 OS Login 的虚拟机可能易于出现提权漏洞。这些漏洞可让被授予 OS Login 权限（但未获得管理员访问权限）的用户提权为虚拟机中的根访问权限。

如需了解相关说明和更多详情，请参阅 Compute Engine 安全公告。

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

技术人员最近在 Kubernetes 中发现了服务器端请求伪造 (SSRF) 漏洞 CVE-2020-8555，该漏洞允许某些授权用户从控制层面主机网络泄露高达 500 字节的敏感信息。Google Kubernetes Engine (GKE) 控制层面会使用 Kubernetes 中的控制器，因此会受到此漏洞的影响。我们建议您将控制层面升级到最新的补丁程序版本。节点不需要升级。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告

中

CVE-2020-8555

Kubernetes 披露了一个漏洞，该漏洞允许特权容器将节点流量重定向至其他容器。此攻击无法读取或修改双向 TLS/SSH 流量（例如 kubelet 与 API 服务器之间）或来自使用 mTLS 的应用的流量。所有 Google Kubernetes Engine (GKE) 节点均受此漏洞影响，我们建议您升级到最新的补丁程序版本。

如需了解相关说明和更多详情，请参阅以下安全公告：

• GKE 安全公告
• GKE on VMware 安全公告
• GKE on AWS 安全公告

中

Kubernetes 问题 91507

近期在 Linux 内核中发现了一个漏洞（如 CVE-2020-8835 中所述），该漏洞允许容器逃逸，从而获得主机节点上的 root 权限。

运行 GKE 1.16 或 1.17 的 Google Kubernetes Engine (GKE) Ubuntu 节点会受到此漏洞的影响，我们建议您尽快升级到最新的补丁程序版本。

如需了解相关说明和更多详细信息，请参阅 GKE 安全公告。

高

CVE-2020-8835

CVE-2019-11254 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。

中

CVE-2019-11254

CVE-2019-11254 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。

中

CVE-2019-11254

CVE-2020-8551 - 这是一种影响 kubelet 的拒绝服务 (DoS) 攻击漏洞。

中

CVE-2020-8551

CVE-2020-8552 - 这是一种影响 API 服务器的拒绝服务 (DoS) 攻击漏洞。

中

CVE-2020-8552

CVE-2020-0601 - 此漏洞又称为 Windows Crypto API 仿冒漏洞。攻击者可以利用此漏洞将恶意可执行程序伪装成受信任的程序，或者发动中间人攻击并解密与受影响软件的用户连接相关的机密信息。

NVD 基本得分：8.1（高）

CVE-2020-0601

Compute Engine

CVE-2020-0601

对于大多数客户而言，无需执行任何额外操作。

使用运行 Windows Server 的 Compute Engine 虚拟机的客户应确保其实例安装了最新的 Windows 补丁程序，或使用自 2020 年 1 月 15 日后提供的 Windows Server 映像。如需了解详情，请参阅 Compute Engine 安全公告。

Google Kubernetes Engine

CVE-2020-0601

对于大多数客户而言，无需执行任何额外操作。

对于使用 GKE 和 Windows Server 节点的客户而言，节点以及在这些节点上运行的容器化工作负载必须更新到修补后的版本以缓解此漏洞。 如需了解相关说明和更多详情，请参阅 GKE 安全公告。

Managed Service for Microsoft Active Directory

CVE-2020-0601

对于大多数客户而言，无需执行任何额外操作。

所有代管式 Microsoft AD 网域均已自动使用修补后的映像进行了更新。任何手动运行 Microsoft Active Directory（而不使用代管式 Microsoft AD）的客户应确保其实例安装了最新的 Windows 补丁程序，或使用自 2020 年 1 月 15 日后提供的 Windows Server 映像。

Google Workspace

客户无需采取任何操作。

这项服务不受此漏洞的影响。

App Engine 标准环境

客户无需采取任何操作。

这项服务不受此漏洞的影响。

App Engine 柔性环境

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud Run

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud Functions

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud Composer

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Dataflow

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Dataproc

客户无需采取任何操作。

这项服务不受此漏洞的影响。

Cloud SQL

客户无需采取任何操作。

这项服务不受此漏洞的影响。

CVE-2019-11135 - 此漏洞名为 TSX 异步中止 (TAA)，可能会被用来在 TSX 事务中发起预测执行攻击。此漏洞可能允许通过微架构数据抽样 (MDS) 所暴露的同一微架构数据结构泄露数据。

中

CVE-2019-11135

CVE-2018-12207 - 这是一种拒绝服务攻击 (DoS) 漏洞，会影响虚拟机主机（而非客机）。此问题被称为“页面大小更改时的机器检查错误”。

中

CVE-2018-12207

Compute Engine

CVE-2019-11135

对多数客户而言，无需执行任何额外操作。

如果 N2、C2 或 M2 客户在 Compute Engine 虚拟机内自己的多租户服务中运行不可信代码，则应关停并重启其虚拟机，以确保虚拟机使用最新的安全威胁缓解机制。

CVE-2018-12207

对所有客户而言，无需执行任何额外操作。

Google Kubernetes Engine

CVE-2019-11135

对多数客户而言，无需执行任何额外操作。

如果您使用包含 N2、M2 或 C2 节点的节点池，并且这些节点在您自己的多租户 GKE 集群内运行不可信代码，那么您应重启您的节点。如果您要重启节点池中的所有节点，请升级受影响的节点池。

CVE-2018-12207

对所有客户而言，无需执行任何额外操作。

App Engine 标准环境

无需执行任何额外操作。

App Engine 柔性环境

CVE-2019-11135

无需执行任何额外操作。

客户应针对可能会在 Flex 虚拟机中的超线程之间发生的应用级共享了解 Intel 的最佳做法。

CVE-2018-12207

无需执行任何额外操作。

Cloud Run

无需执行任何额外操作。

Cloud Functions

无需执行任何额外操作。

Cloud Composer

无需执行任何额外操作。

Dataflow

CVE-2019-11135

对多数客户而言，无需执行任何额外操作。

如果 Dataflow 客户在 Dataflow 托管的 N2、C2 或 M2 Compute Engine 虚拟机上运行多个不可信工作负载并担心客机内攻击的可能性，则应考虑重启当前正在运行的所有流处理流水线。也可以选择取消并重新运行批处理流水线。对于今后启动的流水线，无需执行任何操作。

CVE-2018-12207

对所有客户而言，无需执行任何额外操作。

Dataproc

CVE-2019-11135

对多数客户而言，无需执行任何额外操作。

如果 Cloud Dataproc 客户在 Compute Engine N2、C2 或 M2 虚拟机上的同一 Cloud Dataproc 集群中运行多个不可信工作负载并担心客机内攻击的可能性，则应重新部署其集群。

CVE-2018-12207

对所有客户而言，无需执行任何额外操作。

Cloud SQL

无需执行任何额外操作。