Sicherheitsbulletins

Aktualisierung vom 12. Mai 2022: Die Anthos-Cluster auf AWS und Anthos on Azure-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos auf Bare-Metal-Sicherheitsbulletin

---

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos-Sicherheitsbulletin zu Azure
• Anthos auf Bare-Metal-Sicherheitsbulletin

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos-Sicherheitsbulletin zu Azure
• Anthos auf Bare-Metal-Sicherheitsbulletin

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft folgende Produkte:

• GKE-Knotenpoolversionen 1.22 und höher, die Container-Optimized OS-Images (Container-Optimized OS 93 und höher) verwenden
• Anthos-Cluster auf VMware v1.10 für Container-Optimized OS-Images
• Anthos-Cluster auf AWS v1.21 und Anthos-Cluster auf AWS (vorherige Generation) v1.19, v1.20, v1.21, die Ubuntu verwenden
• Verwaltete Cluster von Anthos in Azure v1.21, die Ubuntu verwenden

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos-Sicherheitsbulletin zu Azure
• Anthos auf Bare-Metal-Sicherheitsbulletin

Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Die folgende Istio CVE-Sicherheitslücke zeigt Anthos Service Mesh mit einer Sicherheitslücke, die aus der Ferne ausgenutzt werden kann:

• CVE-2022-24726: Die Istio-Steuerungsebene „ Istiod“ ist anfällig für einen Fehler bei der Anfrageverarbeitung, sodass ein bösartiger Angreifer, der eine speziell erstellte Nachricht sendet, abstürzt, wenn der prüfende Webhook für einen Cluster öffentlich zugänglich wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung des Angreifers.

Weitere Informationen und eine Anleitung finden Sie in diesem Sicherheitsbulletin:

• Anthos Service Mesh-Sicherheitsbulletin.

• CVE-2022-24726

Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden.

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Update vom 28. April 2022: Wir haben Versionen von Anthos-Clustern auf VMware hinzugefügt, die diese Sicherheitslücken beheben. Weitere Informationen finden Sie in den Anthos-Clustern auf VMware.

• CVE-2022-23606: Wenn ein Cluster über Cluster Discovery Service (CDS) gelöscht wird, werden alle inaktiven Verbindungen zu Endpunkten in diesem Cluster getrennt. In Secret Version 1.19 wurde fälschlicherweise eine Rekursion auf den Vorgang angewendet, mit dem inaktive Verbindungen getrennt wurden, die zu einer Auslastung des Stacks und einer ungewöhnlichen Beendigung des Prozesses führen können, wenn ein Cluster eine große Anzahl inaktiver Verbindungen hat.
• CVE-2022-21655: Der interne Weiterleitungscode von Envoy geht davon aus, dass ein Routeneintrag vorhanden ist. Wenn eine interne Weiterleitung an eine Route ausgeführt wird, die einen Direct-Response-Eintrag und keinen Routeneintrag enthält, führt dies dazu, dass ein Nullzeiger abgelehnt und abstürzt.
• CVE-2021-43826: Wenn Envoy für die Verwendung von tcp_proxy konfiguriert ist, das Upstream-Tunneling (über HTTP) verwendet, und Downstream-TLS-Beendigung, stürzt ab. Der Downstream-Client wird während des TLS-Handshakes getrennt, während der Upstream-HTTP-Stream noch eingerichtet wird. Die Downstreamverbindung kann entweder vom Client oder vom Server initiiert werden. Die Clientverbindung kann aus jedem beliebigen Grund getrennt werden. Der Server kann beispielsweise die Verbindung trennen, wenn er keine TLS- oder Cipher Protokoll-Versionen hat, die mit dem Client kompatibel sind. Dieser Absturz kann auch in anderen nachgelagerten Konfigurationen ausgelöst werden.
• CVE-2021-43825: Wenn eine lokal generierte Antwort gesendet wird, muss die Verarbeitung von Anfrage- oder Antwortdaten weiter gestoppt werden. Envoy erfasst die Menge der zwischengespeicherten Anfrage- und Antwortdaten und bricht die Anfrage ab, wenn die Menge der zwischengespeicherten Daten das Limit überschreitet und 413 oder 500 Antworten gesendet wird. Wenn jedoch lokal generierte Antworten gesendet werden, weil der interne Zwischenspeicher überlaufen kann, während der Vorgang von der Filterkette verarbeitet wird, wird der Vorgang möglicherweise nicht abgebrochen. Dadurch kann auf einen freien Arbeitsspeicherblock zugegriffen werden.
• CVE-2021-43824: Bei Verwendung des JWT-Filters mit einer Übereinstimmungsregel &-Übereinstimmungsregel und einer speziell erstellten Anfrage wie "CONNECT host:port HTTP/1.1&quot stürzt Crowdsource ab. Beim Erreichen des JWT-Filters sollte eine Regel mit dem Befehl „safe_regex"“ den URL-Pfad auswerten. Es ist jedoch kein Pfad vorhanden, bei dem „Absolventen“ abstürzt.
• CVE-2022-21654: In Neuseeland wurde die Wiederaufnahme von TLS-Sitzungen nach der Neukonfiguration der mTLS-Validierungseinstellungen fälschlicherweise zugelassen. Wenn ein Clientzertifikat mit der alten Konfiguration zugelassen, aber mit der neuen Konfiguration nicht zugelassen war, könnte der Client die vorherige TLS-Sitzung fortsetzen, obwohl die aktuelle Konfiguration das nicht zulassen soll. Folgende Änderungen sind betroffen:
  • Match_Subjekt_Namen
  • Änderungen der Zertifikatssperrliste
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657: Nicht alle Zertifikate, die vom Peer akzeptiert werden, sind entweder als TLS-Client oder TLS-Server auf die Zertifikate beschränkt, die den erforderlichen erweiterten KeyUsage-Code (id-kp-serverAuth bzw. id-kp-clientAuth) enthalten. Das bedeutet, dass ein Peer ein E-Mail-Zertifikat (z.B. id-kp-emailProtection) entweder als Blattzertifikat oder als Zertifizierungsstelle in der Kette präsentieren kann, und es wird für TLS akzeptiert. Dies ist besonders kompliziert in Kombination mit CVE-2022-21656. Das bedeutet, dass es eine Web-PKI-CA ermöglicht, die nur für die Verwendung mit S/MIME vorgesehen ist und somit von der Prüfung oder Elternaufsicht ausgenommen ist, damit TLS-Zertifikate ausgegeben werden können, die von Envoy akzeptiert werden.
• CVE-2022-21656: Die Validator-Implementierung, die zur Implementierung der standardmäßigen Zertifikatsprüfungsroutinen verwendet wird, weist einen Fehler im Typ „Verwirrung“ bei der Verarbeitung von subjectAltNames auf. Mit dieser Verarbeitung kann beispielsweise ein rfc822Name- oder UniformResourceIndicator-Domain als Domainname authentifiziert werden. Diese Verwirrung ermöglicht die Umgehung von nameConstraints, die von der zugrunde liegenden OpenSSL/BoringSSL-Implementierung verarbeitet werden, und macht das Risiko eines Identitätsdiebstahls auf beliebige Server aus.

• Anthos Service Mesh-Sicherheitsbulletin

• Istio on GKE-Sicherheitsbulletin

• GKE
• Anthos-Cluster auf VMware
• Anthos on Bare Metal

Die folgenden Hadoop- und Istio-CVEs bieten Anthos Service Mesh und Istio on GKE für Sicherheitslücken, die aus der Ferne ausgenutzt werden können:

• CVE-2022-23635: Istiod stürzt nach dem Empfang von Anfragen mit einem speziell erstellten authorization-Header ab.
• CVE-2021-43824: Möglicher Verweis von Nullpunkten bei Verwendung des safe_regex-Abgleichs des JWT
• CVE-2021-43825: "Nutzungsfrei", wenn Antwortfilter die Antwortdaten erhöhen und erhöhte Daten die nachgelagerten Pufferbeschränkungen überschreiten.
• CVE-2021-43826: Diese Option ist geeignet, wenn TCP nach dem Tunneling über HTTP getunnelt wird, wenn die Verbindung während der Upstream-Verbindung getrennt wird.
• CVE-2022-21654: Wenn er die Konfiguration falsch verarbeitet, kann die mTLS-Sitzung nach der Änderung der Validierungseinstellungen ohne erneute Validierung wiederverwendet werden.
• CVE-2022-21655: Fehler bei der Verarbeitung interner Weiterleitungen zu Routen mit einem Direct-Response-Eintrag.
• CVE-2022-23606: Stack-Erschöpfung, wenn ein Cluster über Cluster Discovery Service gelöscht wird.

Eine Anleitung und weitere Details finden Sie in den folgenden Sicherheitsbulletins:

• Anthos Service Mesh-Sicherheitsbulletin.
• Istio on GKE-Sicherheitsbulletin.

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654-
  
• CVE-2022-21655-
  
• CVE-2022-23606
  

Update vom 12. Mai 2022:Die GKE-, Anthos-Cluster auf VMware, Anthos-Cluster auf AWS und Anthos on Azure-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos-Sicherheitsbulletin zu Azure

In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos-Sicherheitsbulletin zu Azure

Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Sicherheitsbulletin zu Azure

In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Sicherheitsbulletin zu Azure

Aktualisierung vom 25. Februar 2022: Die GKE-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin

Aktualisierung vom 23. Februar 2022: Die GKE- und Anthos-Cluster auf VMware-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin

Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar.

Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, Anthos-Cluster auf VMware, Anthos-Cluster in AWS (aktuelle und vorherige Generation) und Anthos on Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den Versionshinweisen für COS.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Im Parsing-Verfahren für Binärdaten wurde ein potenzielles Problem mit Denial-of-Service-Fehlern in protobuf-java gefunden.

Was soll ich tun?

Achten Sie darauf, dass Sie die aktuellen Versionen der folgenden Softwarepakete verwenden:

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [JRub gem] (3.19.2)

Protobuf-Javalite-Nutzer (normalerweise Android) sind davon nicht betroffen.

Welche Sicherheitslücken werden durch diesen Patch behoben?

Dieser Patch dient zur Entschärfung der folgenden Sicherheitslücke:

Eine Schwäche für die Implementierung beim Parsen von unbekannten Feldern in Java. Eine kleine schädliche Nutzlast (~ 800 KB) kann den Parser für mehrere Minuten beanspruchen. Dazu wird eine große Anzahl kurzlebiger Objekte erstellt, die zu häufigen, wiederholten automatischen Speicherbereinigungen führen.

Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos auf Bare-Metal-Sicherheitsbulletin

Es gibt ein bekanntes Problem, das Auftritt, wenn eine BackendConfig-Ressource mithilfe der v1beta1 API aktualisiert wird, was dazu führen kann, dass eine aktive Google Cloud Armor-Sicherheitsrichtlinie aus ihrem Dienst entfernt wird.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Im AIS-LDAP-Modul (Anthos Identity Service) von Anthos-Cluster auf VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke entdeckt, bei der ein Quellschlüssel zum Generieren von Schlüsseln vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren.

Anleitungen und weitere Informationen finden Sie im Anthos-Cluster auf VMware-Sicherheitsbulletin.

In Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos auf Bare-Metal-Sicherheitsbulletin

Gemäß dem VMware-Sicherheitshinweis VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß dem VMware-Sicherheitshinweis auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0002
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Bestimmte Google Cloud-Load-Balancer, die Weiterleitungen an einen für das Identity-Aware Proxy (IAP) aktivierten Back-End-Dienst vornehmen, können unter bestimmten Bedingungen von einer nicht vertrauenswürdige Partei missbraucht werden. Damit wurde ein über das Prämienprogramm für die Meldung von Sicherheitslücken gemeldetes Problem behoben.

• HTTP(S)-Load-Balancer waren und
• ein Standard-Back-End oder ein Back-End mit einer Platzhalter-Hostzuordnungsregel (d. h. host="*") nutzten

Darüber hinaus musste ein Nutzer in Ihrer Organisation auf einen speziell erstellten Link geklickt haben, der von einer nicht vertrauenswürdigen Partei gesendet wurde.

Dieses Problem wurde behoben. IAP wurde am 17. September 2021 so aktualisiert, dass Cookies nur noch für autorisierte Hosts ausgegeben werden. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load-Balancern installiert sind.

Was muss ich tun?

Einigen Ihrer Nutzer:innen wird möglicherweise beim Versuch, auf Anwendungen oder Dienste zuzugreifen, die Antwort „HTTP 401 – Unauthorized“ mit dem IAP-Fehlercode 52 angezeigt. Dieser Fehlercode bedeutet, dass der Client einen Host-Header gesendet hat, der nicht mit einem der Subject-Alternative-Namen übereinstimmt, die mit den SSL-Zertifikaten des Load-Balancers verknüpft sind. Load-Balancer-Administratoren müssen das SSL-Zertifikat aktualisieren, damit die SAN (Subject Alternative Name)-Liste alle Hostnamen enthält, über die Nutzer auf IAP-geschützte Anwendungen oder Dienste zugreifen. Hier finden Sie weitere Informationen zu IAP-Fehlercodes.

Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos auf Bare-Metal-Sicherheitsbulletin

Aktualisierung vom 23. 09. 2021: Container, die in der GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke für Angriffe aus dem Container nicht betroffen.

Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin.
• Anthos-Cluster auf AWS-Sicherheitsbulletin.

Folgende Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio on GKE für remote Angriffe verwundbar:

• CVE-2021-39156: HTTP-Anfragen mit einem Fragment (einem Abschnitt am Ende eines URI, der mit einem #-Zeichen beginnt) im URI-Pfad können die pfadbasierten Autorisierungsrichtlinien von Istio umgehen.
• CVE-2021-39155: HTTP-Anfragen können möglicherweise eine Istio-Autorisierungsrichtlinie umgehen, wenn Sie Regeln auf Grundlage von hosts oder notHosts verwenden.
• CVE-2021-32781: Wirkt sich auf die Envoy-Erweiterungen decompressor, json-transcoder oder grpc-web oder auf proprietäre Erweiterungen aus, die die Anfrage- oder Antworttexte ändern und vergrößern. Das Ändern und Erhöhen der Textgröße in der Envoy-Erweiterung über die interne Puffergröße hinaus kann dazu führen, dass Envoy auf den freigegebenen Speicher zugreift und anormal beendet wird.
• CVE-2021-32780: Ein nicht vertrauenswürdiger Upstream-Dienst kann dazu führen, dass Envoy ungewöhnlich beendet wird, indem der GOAWAY-Frame gefolgt vom SETTINGS-Frame gesendet wird, wobei der Parameter SETTINGS_MAX_CONCURRENT_STREAMS auf 0 gesetzt ist. (Nicht anwendbar auf Istio on GKE)
• CVE-2021-32778: Ein Envoy-Client, der eine große Anzahl von HTTP/2-Anfragen öffnet und dann zurückgesetzt, kann zu einem übermäßigen CPU-Verbrauch führen. (Nicht anwendbar auf Istio on GKE)
• CVE-2021-32777: HTTP-Anfragen mit mehreren Wert-Headern können bei Verwendung der ext_authz-Erweiterung eine unvollständige Prüfung der Autorisierungsrichtlinie bedingen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Anthos Service Mesh-Sicherheitsbulletin.
• Istio on GKE-Sicherheitsbulletin.

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell eine Container-Aufschlüsselung zum Root auf dem Host verursachen kann. Diese Sicherheitslücke betrifft alle GKE-Cluster und Anthos-Cluster auf VMware unter Linux-Version 2.6.19 oder höher.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin.
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin.

Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Das Istio-Projekt hat vor Kurzem eine Sicherheitslücke gemeldet, über die auf in den Feldern "Gateway" und "DestinationRule credentialName" angegebenen Anmeldedaten von verschiedenen Namespaces aus zugegriffen werden kann.

Produktspezifische Anleitungen und weitere Informationen finden Sie unter:

• Anthos Service Mesh-Sicherheitsbulletin.
• Anthos-Sicherheitsbulletin GCP-2021-012 für Informationen speziell für Google Kubernetes Engine, Anthos auf Bare-Metal und Anthos-Cluster in VMware.

Aktualisierung 19.10.2021:

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos auf Bare-Metal-Sicherheitsbulletin

Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Gemäß VMware-Sicherheitshinweis VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches gemäß dem VMware-Sicherheitshinweis für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen, die in Ihrer privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Patches hinweisen. Sie können sich darauf verlassen, dass entsprechende Patches installiert und Ihre Umgebung vor diesen Sicherheitslücken geschützt wird.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann, wenn ein externer Client auf unerwartete Dienste im Cluster zugreifen kann. Dabei werden Autorisierungsprüfungen umgangen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist.

Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Hoch

Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann. Dabei kann ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder Escape-Zeichen (%2F oder %5C) eine Istio-Autorisierungsrichtlinie umgehen, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Hoch

Das Istio-Projekt hat vor Kurzem eine neue Sicherheitslücke (CVE-2021-31920), die sich auf Istio auswirkt, offengelegt.

Istio enthält eine Sicherheitslücke, die ausgenutzt werden kann, wenn sie per Remotezugriff ausgenutzt wird und bei einer HTTP-Anfrage mit mehreren Schrägstrichen oder Escape-Zeichen keine Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin

Hoch

Eine gemeldete Sicherheitslücke hat gezeigt, dass Envoy die maskierten Schrägstrich-Sequenzen %2F und %5C in HTTP-URL-Pfaden in den Envoy-Versionen bis 1.18.2 nicht decodiert. Darüber hinaus aktivieren einige Envoy-basierte Produkte keine Steuerelemente zur Pfadnormalisierung. Ein Remote-Angreifer kann einen Pfad mit maskierten Schrägstrichen erstellen (z. B. /something%2F..%2Fadmin,), um die Zugriffssteuerung zu umgehen (z. B. einen Block auf /admin). Ein Back-End-Server könnte dann die Schrägstrich-Sequenzen decodieren und den Pfad normalisieren, um Angreifern Zugriff über den durch die Zugriffssteuerungsrichtlinie zugelassenen Umfang hinaus zu ermöglichen.

Was soll ich tun?

Wenn Back-End-Server / und %2F oder \ und %5C austauschbar behandeln und ein URL-Pfad-basierter Abgleich konfiguriert ist, empfehlen wir, den Back-End-Server so neu zu konfigurieren, dass er \ und %2F oder \ und %5C nicht mehr austauschbar behandelt, wenn möglich.

Welche Verhaltensänderungen wurden eingeführt?

Die Optionen normalize_path und angrenzende Schrägstriche zusammenführen von Envoy wurden aktiviert, um andere gängige Sicherheitslücken im Zusammenhang mit der Verwechslung von Pfaden in Envoy-basierten Produkten zu beheben.

Hoch

Die Projekte von Envoy und Istio haben vor Kurzem neue Sicherheitslücken angekündigt (CVE-2021-28683, CVE-2021-28682 und CVE-2021-29258), die einen Angreifer zum Absturz von Envoy ermöglichen könnten.

In Google Kubernetes Engine-Clustern wird Istio nicht standardmäßig ausgeführt und daher sind sie nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein.

Anthos auf Bare Metal- und Anthos-Cluster auf VMware verwenden standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial of Service sind.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos auf Bare-Metal-Sicherheitsbulletin

Mittel

• CVE-2021-28683
• CVE-2021-28682
• CVE-2021-29258

Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke (CVE-2021-25735) bekanntgegeben. Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos auf Bare-Metal-Sicherheitsbulletin

Mittel

CVE-2021-25735

Im VMware-Sicherheitshinweis VMSA-2021-0002 hat VMware Berichte über mehrere Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend dem VMware-Sicherheitshinweis bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974

Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

Die zugrunde liegende Infrastruktur, auf der Compute Engine ausgeführt wird, ist von dieser Sicherheitslücke nicht betroffen.

Alle Cluster von Google Kubernetes Engine (GKE), Anthos-Cluster auf VMware, Anthos-Cluster in AWS und Anthos on Bare Metal sind von dieser Sicherheitslücke nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins
• Anthos auf Bare-Metal-Sicherheitsbulletin
• Compute Engine-Sicherheitsbulletin

Aktualisiert: 22.12.2021: Für den folgenden GKE-Befehl sollte anstelle des Befehls gcloud der Befehl gcloud beta verwendet werden.

gcloud container clusters update –no-enable-service-externalips

1. Ab GKE-Version 1.21 werden Dienste mit ExternalIPs von einem DenyServiceExternalIPs-Zulassungscontroller blockiert, der standardmäßig für neue Cluster aktiviert ist.
2. Kunden, die ein Upgrade auf GKE-Version 1.21 ausführen, können Dienste mit ExternalIPs mit dem folgenden Befehl blockieren:

   
   gcloud container clusters update –no-enable-service-externalips
   

Weitere Informationen finden Sie unter Cluster härten.

Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

Alle Sicherheitslücken von Google Kubernetes Engine (GKE), Anthos-Clustern in VMware- und Anthos-Clustern in AWS-Clustern sind von dieser Sicherheitslücke betroffen.

Was soll ich tun?

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins

Mittel

Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

• CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
• CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
• CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
• CVE-2020-8566: Ceph RBD adminSecrets in Logs mit loglevel >= 4 offengelegt

Was soll ich tun?

Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

–

• CVE-2020-8563
• CVE-2020-8564
• CVE-2020-8565
• CVE-2020-8566

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) ist nicht betroffen.

GKE On-Prem

GKE On-Prem ist davon nicht betroffen.

GKE on AWS

GKE on AWS ist davon nicht betroffen.

CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen.

NVD Base Score: 10 (Kritisch)

CVE-2020-1472

Compute Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten darauf achten, dass auf ihre Instanzen der neueste Windows-Patch aufgespielt wurde oder sie nach dem 17.08.2020 veröffentlichte Windows Server-Images nutzen (Version 20200813 oder höher).

Google Kubernetes Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die Domain-Controller in ihren GKE Windows Server-Knoten hosten, sollten sicherstellen, dass sowohl die Knoten als auch die Arbeitslasten in den Containern, die auf diesen Knoten ausgeführt werden, das neueste Windows-Knoten-Image haben, wenn es verfügbar ist. Eine neue Node-Image-Version wird im Oktober in den GKE-Versionshinweisen angekündigt.

Managed Service for Microsoft Active Directory

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Der von Microsoft veröffentlichte August-Patch, der Korrekturen an dem NetLogon-Protokoll enthält, wurde auf alle verwalteten Microsoft AD-Domaincontroller angewendet. Dieser Patch bietet Funktionen zum Schutz vor potenziellen Angriffen. Der rechtzeitige Einsatz von Patches ist einer der Hauptvorteile des Managed Service for Microsoft Active Directory. Kunden, die Microsoft Active Directory manuell ausführen (und nicht den verwalteten Google Cloud-Dienst verwenden) sollten darauf achten, dass ihre Instanzen den neuesten Windows-Patch aufgespielt haben oder Windows Server-Images verwenden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin.
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin.
• Anthos-Cluster im AWS-Sicherheitsbulletin

Hoch

CVE-2020-14386

Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins

Niedrig (GKE- und Anthos-Cluster in AWS),
Mittel (Anthos-Cluster in VMware)

CVE-2020-8558

CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden.

NVD Base Score: 10.0 (Kritisch)

CVE-2020-1350

Compute Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen verwenden, auf denen Windows Server in einer DNS-Serverkapazität ausgeführt wird, sollten darauf achten, dass ihre Instanzen über den neuesten Windows-Patch verfügen oder Windows Server-Images verwenden, die seit dem 14.07.2020 bereitgestellt werden.

Google Kubernetes Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten in einer DNS-Serverkapazität verwenden, müssen die Knoten und die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, manuell auf eine Windows-Serverversion aktualisieren, die die Fehlerbehebung beinhaltet.

Managed Service for Microsoft Active Directory

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 14. Juli 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins

Mittel

CVE-2020-8559

Beschreibung

VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins

Mittel

CVE-2020-8555

Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen.

Anleitungen und weitere Informationen:

• GKE-Sicherheitsbulletin
• Anthos-Cluster auf dem VMware-Sicherheitsbulletin
• Anthos-Cluster auf AWS-Sicherheitsbulletins

Mittel

Kubernetes-Problem 91507

Im Linux-Kernel wurde eine Sicherheitslücke festgestellt, die in CVE-2020-8835 beschrieben wurde. Sie ermöglicht es Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten.

Google Kubernetes Engine-GKE-Ubuntu-Knoten mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen.

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Hoch

CVE-2020-8835

CVE-2019-11254: Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

CVE-2019-11254: Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

CVE-2020-8551: Diese Sicherheitslücke von Denial of Service (DoS) wirkt sich auf die Kubelet aus.

Mittel

CVE-2020-8551

CVE-2020-8552: Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2020-8552

CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.

NVD Base Score: 8,1 (hoch)

CVE-2020-0601

Compute Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Google Kubernetes Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerbasierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Managed Service for Microsoft Active Directory

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS).

Mittel

CVE-2019-11135

CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt.

Mittel

CVE-2018-12207

Compute Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

N2-, C2- oder M2-Kunden, die auf virtuellen Maschinen von Compute Engine für ihre eigenen Dienste mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten ihre VMs beenden und wieder starten, um zu gewährleisten, dass die neuesten Sicherheitsmaßnahmen vorliegen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Google Kubernetes Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Wenn Sie Knotenpools mit N2-, M2- oder C2-Knoten verwenden und für diese Knoten in Ihren eigenen GKE-Clustern mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten Sie Ihre Knoten neu starten. Wenn Sie alle Knoten in Ihrem Knotenpool neu starten möchten, müssen Sie den betroffenen Knotenpool aktualisieren.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

App Engine-Standardumgebung

Es sind keine weiteren Maßnahmen erforderlich.

Flexible App Engine-Umgebung

CVE-2019-11135

Es sind keine weiteren Maßnahmen erforderlich.

Kunden sollten sich die Best Practices von Intel bezüglich der Freigabe auf Anwendungsebene durchlesen. Diese kann innerhalb einer Flex-VM zwischen Hyperthreads auftreten.

CVE-2018-12207

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Run

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Functions

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Composer

Es sind keine weiteren Maßnahmen erforderlich.

Dataflow

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Dataflow-Kunden, die mehrere von Dataflow verwaltete, nicht vertrauenswürdige Arbeitslasten auf N2-, C2- oder M2-VMs in Compute Engine ausführen und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten alle aktuell ausgeführten Streamingpipelines neu starten. Optional können Batchpipelines beendet und neu ausgeführt werden. Für Pipelines, die nach dem heutigen Datum gestartet werden, sind keine Maßnahmen erforderlich.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Dataproc

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud Dataproc-Kunden, die mehrere nicht vertrauenswürdige Arbeitslasten auf demselben Cloud Dataproc-Cluster ausführen, der auf N2-, C2- oder M2-VMs in Compute Engine ausgeführt wird, und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten ihre Cluster neu bereitstellen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud SQL

Es sind keine weiteren Maßnahmen erforderlich.