Sicherheitsbulletins

Im Linux-Kernel wurden die folgenden Sicherheitslücken gefunden, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken gefunden, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Am 14. November hat AMD mehrere Sicherheitslücken offengelegt, die verschiedene AMD-Server-CPUs betreffen. Insbesondere betreffen die Sicherheitslücken EPYC-Server-CPUs, die Zen-Kern der Generation 2 „Rome“, der Generation 3 „Mailand“ und der Generation 4 „Genoa“ nutzen.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um die Sicherheit der Kunden zu gewährleisten. Derzeit wurden keine Hinweise auf eine Ausbeutung gefunden oder Google gemeldet.

Was soll ich tun?

Es besteht kein Handlungsbedarf für den Kunden.

An der Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, wurden bereits Korrekturen vorgenommen.

Welche Sicherheitslücken werden behoben?

Durch diesen Patch wurden die folgenden Sicherheitslücken behoben:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Weitere Informationen finden Sie in den AMD-Sicherheitshinweisen AMD-SN-3005: „AMD INVD Instruction Security Notification“ (auch als CacheWarp veröffentlicht) und AMD-SN-3002: „AMD Server Vulnerabilities – November 2023“.

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel hat eine CPU-Sicherheitslücke bei ausgewählten Prozessoren offengelegt. Google hat Maßnahmen ergriffen, um seine Server, einschließlich der Google Compute Engine für Google Cloud und ChromeOS-Geräte, zu mindern und dafür zu sorgen, dass Kunden bestmöglich geschützt sind.

Details zur Sicherheitslücke:

• CVE-2023-23583

Was soll ich tun?

Es besteht kein Handlungsbedarf für den Kunden.

Die von Intel für die betroffenen Prozessoren bereitgestellte Abhilfe wurde auf die Server von Google einschließlich der Google Compute Engine für Google Cloud angewendet.

Derzeit erfordert Google Distributed Cloud Edge ein Update vom OEM. Google korrigiert dieses Produkt, sobald das Update verfügbar ist, und dieses Bulletin wird entsprechend aktualisiert.

Chrome OS-Geräte mit den betroffenen Prozessoren erhielten die Fehlerbehebung automatisch im Rahmen der Releases 119, 118 und 114 (LTS).

Welche Sicherheitslücken werden behoben?

CVE-2023-23583. Weitere Informationen finden Sie unter Intel Security Advisory INTEL-SA-00950.

Aktualisierung vom 15.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken gefunden, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken gefunden, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken gefunden, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Aktualisierung vom 16.11.2023:Die in diesem Sicherheitsbulletin enthaltene Sicherheitslücke CVE-2023-4622. CVE-2023-4623 wurde in einer vorherigen Version des Sicherheitsbulletins fälschlicherweise als Sicherheitslücke aufgeführt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken gefunden, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken gefunden, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken gefunden, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Deep Learning VM Images ist ein Satz von vorgefertigten und sofort einsatzbereiten VM-Images mit einem Deep Learning Framework. Vor Kurzem wurde in der Funktion „ReadHuffmanCodes()“ der Bibliothek „libwebp“ eine Sicherheitslücke beim Schreiben außerhalb des Bereichs entdeckt. Dies kann sich auf Images auswirken, die diese Bibliothek verwenden.

Google Cloud scannt seine öffentlich veröffentlichten Images kontinuierlich und aktualisiert die Pakete, damit gepatchte Distributionen in den neuesten Releases enthalten sind, die für die Kundenakzeptanz verfügbar sind. Deep Learning VM Images wurden aktualisiert, damit die neuesten VM-Images die gepatchten Distributionen enthalten. Kunden, die die neuesten VM-Images verwenden, sind von dieser Sicherheitslücke nicht betroffen.

Was soll ich tun?

Google Cloud-Kunden, die veröffentlichte VM-Images verwenden, sollten darauf achten, dass sie die neuesten Images verwenden und ihre Umgebungen gemäß dem Modell der geteilten Verantwortung auf dem neuesten Stand haben.

CVE-2023-4863 könnte von einem Angreifer ausgenutzt werden, um beliebigen Code auszuführen. Diese Sicherheitslücke wurde in Google Chrome vor 116.0.5845.187 und in "libwebp" vor 1.3.2 gefunden und ist unter CVE-2023-4863 aufgeführt.

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken gefunden, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

VMware hat mehrere Sicherheitslücken in VMSA-2023-0023 offengelegt, die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen von Cloud Customer Care

• Die Sicherheitslücke kann durch den Zugriff auf bestimmte Ports in vCenter Server ausgenutzt werden. Diese Ports sind nicht für das öffentliche Internet verfügbar.
• Wenn Ihre vCenter-Ports 2012/tcp, 2014/tcp und 2020/tcp nicht für nicht vertrauenswürdige Systeme zugänglich sind, sind Sie dieser Sicherheitslücke nicht ausgesetzt.
• Google hat die anfälligen Ports auf dem vCenter-Server bereits blockiert, um eine potenzielle Ausnutzung dieser Sicherheitslücke zu verhindern.
• Darüber hinaus sorgt Google dafür, dass alle zukünftigen Bereitstellungen des vCenter-Servers nicht dieser Sicherheitslücke ausgesetzt sind.
• Zum Zeitpunkt des Bulletins war VMware keine Ausbeutung „in freier Wildbahn“ bekannt. Weitere Informationen finden Sie in der VMware-Dokumentation.

Wie gehe ich am besten vor?

Derzeit sind keine weiteren Maßnahmen erforderlich.

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken gefunden, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt.

Eine DoS-Sicherheitslücke (Denial of Service) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) entdeckt, einschließlich des Apigee Ingress (Anthos Service Mesh)-Dienstes, der von Apigee X und Apigee Hybrid verwendet wird. Die Sicherheitslücke könnte zu einem DoS-Angriff auf API-Verwaltungsfunktionen von Apigee führen.

Eine Anleitung und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.

Ein Denial-of-Service-Angriff kann sich auf die Datenebene auswirken, wenn das HTTP/2-Protokoll verwendet wird. Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Aktualisierung vom 09.11.2023:CVE-2023-39325 wurde hinzugefügt. GKE-Versionen wurden mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

TorchServe wird zum Hosten von PyTorch-Modellen für maschinelles Lernen für Onlinevorhersagen verwendet. Vertex AI bietet vordefinierte PyTorch-Modelle für die Bereitstellung von Containern, die von TorchServe abhängig sind. In TorchServe wurden kürzlich Sicherheitslücken entdeckt, mit denen Angreifer die Kontrolle über eine TorchServe-Bereitstellung übernehmen können, wenn deren Modellverwaltungs-API preisgegeben wird. Kunden, die für Vertex AI-Onlinevorhersagen bereitgestellte PyTorch-Modelle verwenden, sind von diesen Sicherheitslücken nicht betroffen, da Vertex AI die Modellverwaltungs-API von TorchServe nicht verfügbar macht. Kunden, die TorchServe außerhalb von Vertex AI verwenden, sollten Vorkehrungen treffen, um ihre Bereitstellungen sicher einzurichten.

Was soll ich tun?

Vertex AI-Kunden, die Modelle mit den vordefinierten PyTorch-Bereitstellungscontainern von Vertex AI verwenden, müssen keine Maßnahmen ergreifen, um die Sicherheitslücken zu schließen, da der Verwaltungsserver von TorchServe durch die Bereitstellungen von Vertex AI nicht im Internet verfügbar ist.

Kunden, die die vordefinierten PyTorch-Container in anderen Kontexten oder eine benutzerdefinierte oder Drittanbieter-Distribution von TorchServe nutzen, sollten Folgendes tun:

• Achten Sie darauf, dass die Modellverwaltungs-API von TorchServe nicht mit dem Internet verbunden ist. Die Modellverwaltungs-API kann nur auf den lokalen Zugriff beschränkt werden, indem sichergestellt wird, dass management_address an 127.0.0.1 gebunden ist.
• Verwenden Sie die Einstellung allowed_urls, damit Modelle nur aus beabsichtigten Quellen geladen werden können.
• Führen Sie so schnell wie möglich ein Upgrade von TorchServe auf Version 0.8.2 durch, die Lösungen für dieses Problem enthält. Als Vorsichtsmaßnahme veröffentlicht Vertex AI korrigierte vordefinierte Container bis zum 13.10.2023.

Welche Sicherheitslücken werden behoben?

Die Verwaltungs-API von TorchServe ist in den meisten TorchServe-Docker-Images standardmäßig an 0.0.0.0 gebunden, einschließlich der von Vertex AI veröffentlichten Images, sodass sie für externe Anfragen zugänglich ist. Die Standard-IP-Adresse für die Management API wird in TorchServe 0.8.2 in 127.0.0.1 geändert, um dieses Problem zu beheben.

Mit CVE-2023-43654 und CVE-2022-1471 können Nutzer mit Zugriff auf die Management API Modelle aus beliebigen Quellen laden und Code per Fernzugriff ausführen. Lösungen für diese beiden Probleme sind in TorchServe 0.8.2 enthalten: Der Pfad für die Remote-Codeausführung wird entfernt und es wird eine Warnung ausgegeben, wenn der Standardwert für allowed_urls verwendet wird.

Kunden können Chronicle so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets über einen Aufnahmefeed aufgenommen werden. Bis vor Kurzem stellte Chronicle ein freigegebenes Dienstkonto bereit, mit dem Kunden Berechtigungen für den Bucket erteilt haben. Es gab eine Möglichkeit, dass die Chronicle-Instanz eines Kunden so konfiguriert werden konnte, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen werden konnten. Bei einer Wirkungsanalyse haben wir weder eine aktuelle noch eine frühere Ausnutzung dieser Sicherheitslücke festgestellt. Die Sicherheitslücke war vor dem 19. September 2023 in allen Chronicle-Versionen vorhanden.

Was soll ich tun?

Chronicle wurde am 19. September 2023 aktualisiert, um diese Sicherheitslücke zu beheben. Es besteht kein Handlungsbedarf für den Kunden.

Welche Sicherheitslücken werden behoben?

Bisher hat Chronicle ein freigegebenes Dienstkonto bereitgestellt, mit dem Kunden Berechtigungen für einen Bucket erteilt haben. Da verschiedene Kunden demselben Chronicle-Dienstkonto die Berechtigung für ihren Bucket erteilt haben, gab es einen Ausbeutungsvektor, mit dem der Feed eines Kunden beim Erstellen oder Ändern eines Feeds auf den Bucket eines anderen Kunden zugreifen konnte. Dieser Exploitationsvektor erforderte die Kenntnis des Bucket-URI. Jetzt verwendet Chronicle beim Erstellen oder Ändern von Feeds für jeden Kunden eindeutige Dienstkonten.

VMware vCenter Server-Updates beheben mehrere Sicherheitslücken im Arbeitsspeicher (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Auswirkungen der Kundenbetreuung

VMware vCenter Server (vCenter Server) und VMware Cloud Foundation (Cloud Foundation)

Wie gehe ich am besten vor?

Kunden sind davon nicht betroffen und es sind keine Maßnahmen erforderlich.

• CVE-2023-20893

In Kubernetes wurden drei Sicherheitslücken gefunden (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893). Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise zu Administratorberechtigungen für diese Knoten eskalieren. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den Kubernetes CSI-Proxy.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Intel hat vor Kurzem den Intel Security Advisory INTEL-SA-00828 angekündigt, der Auswirkungen auf einige seiner Prozessorfamilien hat. Es wird empfohlen, Ihre Risiken auf der Grundlage der Empfehlung zu bewerten.

Auswirkungen der Google Cloud VMware Engine

Unsere Flotte nutzt die betroffenen Prozessorfamilien. In unserer Bereitstellung ist der gesamte Server einem einzelnen Kunden zugeordnet. Daher stellt unser Bereitstellungsmodell kein zusätzliches Risiko für Ihre Bewertung dieser Sicherheitslücke dar.

Wir arbeiten mit unseren Partnern zusammen, um die erforderlichen Patches zu beschaffen, und werden diese Patches in den nächsten Wochen über den standardmäßigen Upgradeprozess innerhalb der gesamten Flotte priorisieren.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun. Wir arbeiten an der Aktualisierung aller betroffenen Systeme.

• CVE-2022-40982

Update vom 10.08.2023:Die ChromeOS-LTS-Versionsnummer wurde hinzugefügt.

Intel hat eine Sicherheitslücke bei ausgewählten Prozessoren (CVE-2022-40982) offengelegt. Google hat Maßnahmen ergriffen, um seine Server, einschließlich Google Cloud, zu mindern und dafür zu sorgen, dass Kunden bestmöglich geschützt sind.

Details zur Sicherheitslücke:

• CVE-2022-40982 (Intel IPU 2023.3, „GDS“ oder „Downfall“)

Was soll ich tun?

Es besteht kein Handlungsbedarf für den Kunden.

Alle verfügbaren Patches wurden bereits auf die Google-Serverflotte für Google Cloud angewendet, einschließlich Google Compute Engine.

Derzeit sind für die folgenden Produkte zusätzliche Updates von Partnern und Anbietern erforderlich.

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Google Cloud-Bare-Metal-Lösung
• Evolved Packet Core

Google korrigiert diese Produkte, sobald die Patches verfügbar sind. Dieses Bulletin wird entsprechend aktualisiert.

Google Chromebook- und ChromeOS Flex-Kunden erhielten automatisch die von Intel zur Verfügung gestellten Risikominderungen in den Stufen Stabil (115), LTS (108), Beta (116) und LTC (114). Chromebook- und ChromeOS Flex-Kunden, die einen älteren Release festgelegt haben, sollten diese Version loslösen und auf stabile oder Langzeitsupport-Releases umstellen, damit sie diese und andere Fehlerkorrekturen für Sicherheitslücken erhalten.

Welche Sicherheitslücken werden behoben?

CVE-2022-40982: Weitere Informationen finden Sie unter Intel Security Advisory INTEL-SA-00828.

AMD hat eine Sicherheitslücke bei ausgewählten Prozessoren offengelegt (CVE-2023-20569). Google hat Maßnahmen ergriffen, um seine Server, einschließlich Google Cloud, zu mindern und dafür zu sorgen, dass Kunden bestmöglich geschützt sind.

Details zur Sicherheitslücke:

• CVE-2023-20569 (AMD SB-7005, auch "Inception" genannt)

Was soll ich tun?

Nutzer von Compute Engine-VMs sollten die vom Betriebssystem bereitgestellten Schutzmaßnahmen in Betracht ziehen, wenn sie die Ausführung von nicht vertrauenswürdigem Code innerhalb von Instanzen verwenden. Wir empfehlen Kunden, sich für eine genauere Anleitung an ihre Betriebssystemanbieter zu wenden.

An der Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, wurden bereits Korrekturen vorgenommen.

Welche Sicherheitslücken werden behoben?

CVE-2023-20569: Weitere Informationen finden Sie unter AMD SB-7005.

Google hat eine Sicherheitslücke in gRPC C++-Implementierungen vor Version 1.57 festgestellt. Dabei handelte es sich um eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC. Diese wurden in den Releases 1.53.2, 1.54.3, 1.55.2, 1.56.2 und 1.57 behoben.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• Die gRPC-Versionen 1.53, 1.54, 1.55 und 1.56 (C++, Python, Ruby) müssen auf die folgenden Patchversionen aktualisiert werden:
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• gRPC (C++, Python, Ruby) Version 1.52 und niedriger müssen auf einen der genehmigten Patchreleases aktualisiert werden. Beispiel: 1.53.2, 1.54.3, 1.53.4 usw.

Welche Sicherheitslücken werden behoben?

Diese Patches dienen zur Entschärfung der folgenden Sicherheitslücken:

• DoS-Sicherheitslücke (Denial of Service) in gRPC-C++-Implementierungen: Speziell erstellte Anfragen können zur Beendigung der Verbindung zwischen einem Proxy und einem Back-End führen.

Die folgenden CVEs machen Anthos Service Mesh für ausnutzbare Sicherheitslücken aus:

• CVE-2023-35941: Ein schädlicher Client kann in einigen bestimmten Szenarien Anmeldedaten mit dauerhafter Gültigkeit erstellen. Beispielsweise kann die Kombination aus Host- und Ablaufzeit in der HMAC-Nutzlast in der HMAC-Prüfung des OAuth2-Filters immer gültig sein.
• CVE-2023-35942: gRPC-Zugriffs-Logger, die den globalen Bereich des Listeners verwenden, können einen Use-After-Free-Absturz verursachen, wenn der Listener per Drain beendet wird. Dies kann durch eine LDS-Aktualisierung mit derselben gRPC-Zugriffslogkonfiguration ausgelöst werden.
• CVE-2023-35943: Wenn der origin-Header so konfiguriert ist, dass er mit request_headers_to_remove: origin entfernt wird, wird der CORS-Filter segfault und stürzt Envoy ab.
• CVE-2023-35944: Angreifer können Anfragen für gemischte Schemas senden, um Schemaprüfungen in Envoy zu umgehen. Wenn beispielsweise eine Anfrage mit HTTP mit gemischtem Schema an den OAuth2-Filter gesendet wird, schlägt die Prüfung der genauen Übereinstimmung für HTTP fehl und der Remote-Endpunkt wird darüber informiert, dass das Schema HTTPS ist. Dadurch werden möglicherweise OAuth2-Prüfungen umgangen, die für HTTP-Anfragen spezifisch sind.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD hat ein Mikrocode-Update veröffentlicht, um eine Hardware-Sicherheitslücke (CVE-2023-20593) zu beheben. Google hat die notwendigen Korrekturen für diese Sicherheitslücke an seiner Serverflotte vorgenommen, einschließlich Servern für die Google Cloud Platform. Tests zeigen, dass es keine Auswirkungen auf die Leistung der Systeme gibt.

Was soll ich tun?

Es sind keine Maßnahmen des Kunden erforderlich, da bereits Korrekturen an der Google-Serverflotte für die Google Cloud Platform vorgenommen wurden.

Welche Sicherheitslücken werden behoben?

CVE-2023-20593 behebt eine Sicherheitslücke in einigen AMD-CPUs. Weitere Informationen

In Envoy wurde eine neue Sicherheitslücke (CVE-2023-35945) festgestellt. Dabei kann eine speziell entwickelte Antwort von einem nicht vertrauenswürdigen Upstream-Dienst zu einem Denial of Service durch Speicherausschöpfung führen. Dies wird durch den HTTP/2-Codec von Envoy verursacht, der beim Empfang von RST_STREAM, direkt gefolgt von GOAWAY-Frames von einem Upstream-Server, eine Header-Zuordnung und Buchhaltungsstrukturen offenlegen kann.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) gefunden, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind davon betroffen, da GKE Autopilot-Knoten immer Container-Optimized OS-Knoten-Images verwenden. GKE-Standardcluster mit Version 1.25 oder höher, auf denen Container-Optimized OS-Knoten-Images ausgeführt werden, sind davon betroffen.

GKE-Cluster sind nicht betroffen, wenn auf ihnen nur Ubuntu-Knoten-Images oder Versionen vor 1.25 oder GKE Sandbox ausgeführt werden.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 11. Juli 2023:Neue GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-31436 gepatcht haben.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) gefunden, die zu einer Rechteausweitung für den Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

In Envoy wurden eine Reihe von Sicherheitslücken entdeckt, die in Anthos Service Mesh verwendet werden und es einem böswilligen Angreifer ermöglichen, einen Denial of Service oder Absturz von Envoy zu verursachen. Diese wurden separat als GCP-2023-002 gemeldet.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2023-0468, entdeckt. Sie könnte es einem nicht privilegierten Nutzer ermöglichen, Berechtigungen zum Root-Zugriff zu eskalieren, wenn io_poll_get_ownership bei jedem io_poll_wake den Wert req->poll_refs erhöht und dann auf 0 überläuft. Dadurch wird zweimal req->Datei-Verweis ausgelöst und eine Struct-Datei-Referenz verursacht. GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS, die die Linux-Kernel-Version 5.15 verwenden, sind betroffen. GKE-Cluster, die Ubuntu-Images verwenden oder GKE Sandbox verwenden, sind nicht betroffen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Update vom 11.08.2023 : Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und Google Distributed Cloud Virtual for Bare Metal wurden hinzugefügt.

In Kubernetes wurden zwei neue Sicherheitsprobleme festgestellt, bei denen Nutzer möglicherweise Container starten konnten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zugangs-Plug-in (CVE-2023-2728) verwenden.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Wenn Sie die Cloud Build API in einem Projekt aktivieren, erstellt Cloud Build automatisch ein Standarddienstkonto, um Builds in Ihrem Namen auszuführen. Dieses Cloud Build-Dienstkonto hatte zuvor die IAM-Berechtigung logging.privateLogEntries.list, die es Builds ermöglichte, private Logs standardmäßig aufzulisten. Diese Berechtigung wurde dem Cloud Build-Dienstkonto jetzt widerrufen, um das Sicherheitsprinzip der geringsten Berechtigung einzuhalten.

Eine Anleitung und weitere Informationen finden Sie im Cloud Build-Sicherheitsbulletin.

Google hat drei neue Sicherheitslücken in der gRPC C ++-Implementierung identifiziert. Diese werden demnächst unter dem Namen CVE-2023-1428, CVE-2023-32731 und CVE-2023-32732 veröffentlicht.

Im April haben wir zwei Sicherheitslücken in den Releases 1.53 und 1.54 identifiziert. Eine war eine Denial-of-Service-Schwachstelle in der C++-Implementierung von gRPC, die andere war eine Sicherheitslücke bei Remote-Daten-Exfiltration. Diese wurden in 1.53.1, 1.54.2 und späteren Releases behoben.

Im März haben unsere internen Teams bei der Durchführung von Routine-Fuzzing-Aktivitäten eine Denial-of-Service-Schwachstelle in der C++-Implementierung von gRPC entdeckt. Er wurde in gRPC 1.52 gefunden und in den Releases 1.52.2 und 1.53 behoben.

Wie gehe ich am besten vor?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• Für die gRPC-Versionen 1.52, 1.53 und 1.54 (C++, Python, Ruby) muss ein Upgrade auf die folgenden Patchversionen durchgeführt werden:
• 1.52.2
• 1.53.1
• 1.54.2
• gRPC (C++, Python, Ruby) Version 1.51 und niedriger sind nicht betroffen, sodass Nutzer mit diesen Versionen keine Maßnahmen ergreifen können

Welche Sicherheitslücken werden mit diesen Patches behoben?

Diese Patches dienen zur Entschärfung der folgenden Sicherheitslücken:

• In 1.53.1, 1.54.2 und höheren Releases wird Folgendes behoben: Denial-of-Service-Sicherheitslücke in der gRPC C++-Implementierung. Speziell erstellte Anfragen können dazu führen, dass die Verbindung zwischen einem Proxy und einem Back-End beendet wird. Sicherheitslücke bei der Daten-Exfiltration: Wenn die HPACK-Tabelle aufgrund von Beschränkungen der Header-Größe nicht synchronisiert wird, kann dies dazu führen, dass Proxy-Back-Ends Header-Daten von anderen Clients weitergeben, die mit einem Proxy verbunden sind.
• In 1.52.2, 1.53 und späteren Releases wird Folgendes behoben: Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC. Das Parsen spezieller Anfragen kann zu einem Serverabsturz führen.

Wir empfehlen ein Upgrade auf die neuesten Versionen der folgenden Softwarepakete, wie oben aufgeführt.

In „secrets-store-csi-driver“ wurde eine neue Sicherheitslücke (CVE-2023-2878) gefunden, durch die ein Akteur mit Zugriff auf die Treiberprotokolle Dienstkontotokens beobachten konnte.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) gefunden, die zu einer Rechteausweitung auf Root auf dem Knoten führen kann.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

In Cloud SQL for SQL Server wurde kürzlich eine Sicherheitslücke entdeckt, die es Kundenadministratorkonten ermöglichte, Trigger in der Datenbank tempdb zu erstellen und diese zu verwenden, um sysadmin-Berechtigungen in der Instanz zu erhalten. Die Berechtigungen sysadmin gewähren dem Angreifer Zugriff auf Systemdatenbanken und Teilzugriff auf die Maschine, auf der diese SQL Server-Instanz ausgeführt wird.

Google Cloud hat das Problem durch die Behebung der Sicherheitslücke zum Zeitpunkt des 1. März 2023 behoben. Google Cloud hat keine kompromittierten Kundeninstanzen gefunden.

Eine Anleitung und weitere Informationen finden Sie im Cloud SQL-Sicherheitsbulletin.

Update vom 06.06.2023:Die neuen GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-1281 und CVE-2023-1829 gepatcht haben.

Im Linux-Kernel wurden zwei neue Sicherheitslücken entdeckt (CVE-2023-1281, CVE-2023-1829), die zu einer Rechteausweitung auf Root auf dem Knoten führen können.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

In Trusted Platform Module (TPM) 2.0 wurden zwei Sicherheitslücken (CVE-2023-1017 und CVE-2023-1018) gefunden.

Aufgrund der Sicherheitslücken könnte ein erfahrener Angreifer möglicherweise 2 Byte außerhalb des Lese-/Schreibbereichs auf bestimmten Compute Engine-VMs nutzen.

Eine Anleitung und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

• CVE-2023-1017
• CVE-2023-1018

Im Linux-Kernel wurden zwei neue Sicherheitslücken entdeckt, CVE-2023-0240 und CVE-2023-23586, die es nicht privilegierten Nutzern ermöglichen könnten, Berechtigungen zu eskalieren.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Die folgenden CVEs machen Anthos Service Mesh für ausnutzbare Sicherheitslücken aus:

• CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, könnte ein böswilliger Akteur eine Anfrage erstellen, die durch einen Absturz von Envoy einen Denial-of-Service verursachen würde.
• CVE-2023-27488: Der Angreifer kann diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn ext_authz verwendet wird.
• CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mithilfe von Eingaben aus der Anfrage generiert wurden, z. B. das Peer-Zertifikat-SAN.
• CVE-2023-27492: Angreifer können große Anfragetexte für Routen senden, bei denen der Lua-Filter aktiviert ist und Abstürze auslösen.
• CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um beim HTTP/1-Upstream-Dienst Parsing-Fehler auszulösen.
• CVE-2023-27487: Der Header „x-envoy-original-path“ sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht zu Beginn der Anfrageverarbeitung aus der Anfrage, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin:

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) gefunden, die zu einer Rechteausweitung auf dem Knoten führen kann.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Aktualisierung vom 19. Januar 2023:Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Aktualisierung vom 19. Januar 2023:Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

Aktualisierung vom 16.12.2022:Patchversionen für GKE und GKE auf VMware hinzugefügt.

Im Linux-Kernel wurden zwei neue Sicherheitslücken entdeckt (CVE-2022-2585 und CVE-2022-2588), die zu einem vollständigen Containerausbruch im Root-Vorgang auf dem Knoten führen können.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-2585
• CVE-2022-2588

In Istio, das in Anthos Service Mesh verwendet wird, wurde die Sicherheitslücke CVE-2022-39278 festgestellt. Dadurch kann ein böswilliger Angreifer die Steuerungsebene abstürzen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 14.12.2022:Patchversionen für GKE und GKE auf VMware wurden hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-20409) entdeckt, die es nicht privilegierten Nutzern ermöglicht, zu Systemausführungsberechtigungen zu eskalieren.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 19. Januar 2023:Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

Update vom 15.12.2022:Die Information, dass die Einführung von Version 1.21.14-gke.9400 von Google Kubernetes Engine aussteht, wurde aktualisiert, sodass sie durch eine höhere Versionsnummer ersetzt werden kann.

Aktualisierung vom 22.11.2022:Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt.

Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-3176 entdeckt, die zur Eskalation lokaler Berechtigungen führen kann. Diese Sicherheitslücke ermöglicht es nicht privilegierten Nutzern, einen vollständigen Container-Breakout zum Rooten auf dem Knoten zu erreichen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Die Istio-Steuerungsebene istiod ist anfällig für einen Anfrageverarbeitungsfehler. Dadurch kann ein böswilliger Angreifer eine speziell entwickelte Nachricht senden. Dies führt dazu, dass die Steuerungsebene abstürzt, wenn der validierende Webhook für einen Cluster öffentlich verfügbar gemacht wird. Dieser Endpunkt wird über den TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Eine Sicherheitslücke beim Parsen und der Speicherverwaltung in den C++- und Python-Implementierungen von ProtocolBuffer kann bei der Verarbeitung einer speziell erstellten Nachricht zu einem OOM-Fehler (Out-of-Memory) führen. Dies kann zu einem Denial of Service (DoS) bei Diensten führen, die die Bibliotheken verwenden.

Wie gehe ich am besten vor?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
• protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

Eine speziell erstellte kleine Nachricht, die bewirkt, dass der ausgeführte Dienst große Arbeitsspeichermengen zuweist. Aufgrund der geringen Größe der Anfrage können die Sicherheitslücken einfach ausgenutzt werden und die Ressourcen sind erschöpft. C++- und Python-Systeme, die nicht vertrauenswürdige Protokollpuffer nutzen, sind anfällig für DoS-Angriffe, wenn ihre RPC-Anfrage ein MessageSet-Objekt enthält.

Aktualisierung vom 14. September 2022:Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 22.11.2022:Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen.

Aktualisierung vom 21. Juli 2022:Weitere Informationen zu GKE auf VMware.

Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Update vom 22.11.2022:Autopilot-Cluster sind von CVE-2022-29581 nicht betroffen, sind aber anfällig für CVE-2022-29582 und CVE-2022-1116.

Im Linux-Kernel wurden drei neue Sicherheitslücken aufgrund von Speicherschäden (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) gefunden. Durch diese Sicherheitslücken kann ein nicht privilegierter Nutzer mit lokalem Zugriff auf den Cluster einen vollständigen Container-Breakout für das Rooting auf dem Knoten erreichen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

Aktualisierung vom 10. Juni 2022:Die Anthos Service Mesh-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Folgende Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio on GKE für remote Angriffe verwundbar:

• CVE-2022-31045: Die Istio-Datenebene kann möglicherweise unsicher auf den Arbeitsspeicher zugreifen, wenn die Erweiterungen „Metadata Exchange“ und „Stats“ aktiviert sind.
• CVE-2022-29225: Daten können zwischenzeitliche Pufferlimits überschreiten, wenn ein böswilliger Angreifer eine kleine, stark komprimierte Nutzlast übergibt (Zip-Bomb-Angriff).
• CVE-2021-29224: Potenzielle Nullzeiger-Dereferenzierung in GRPCHealthCheckerImpl.
• CVE-2021-29226: Der OAuth-Filter ermöglicht eine einfache Umgehung.
• CVE-2022-29228: Ein OAuth-Filter kann den Arbeitsspeicher beschädigen (ältere Versionen) oder eine ASSERT()-Funktion (spätere Versionen) auslösen.
• CVE-2022-29227: Absturz bei internen Weiterleitungen bei Anfragen mit Text oder Trailern.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

Update vom 22.11.2022:GKE Autopilot-Cluster und -Arbeitslasten, die in GKE Sandbox ausgeführt werden, sind nicht betroffen.

Aktualisierung vom 12. Mai 2022:Die Versionen von GKE on AWS und GKE on Azure wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

---

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Update vom 22.11.2022:Bei GKE-Clustern in beiden Modi, Standard und Autopilot, sind Arbeitslasten, die GKE Sandbox verwenden, nicht betroffen.

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft die folgenden Produkte:

• GKE-Knotenpoolversionen 1.22 und höher, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher)
• GKE on VMware v1.10 für Container-Optimized OS-Images
• GKE on AWS v1.21 und GKE on AWS (vorherige Generation) v1.19, v1.20, v1.21, die Ubuntu verwenden
• Verwaltete Cluster von GKE on Azure v1.21, die Ubuntu verwenden

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 11.08.2022:Weitere Informationen zur Konfiguration für simultanes Multi-Threading (SMT) wurden hinzugefügt. SMT sollte eigentlich deaktiviert werden, war aber für die aufgeführten Versionen aktiviert.

Wenn Sie SMT für einen in einer Sandbox ausgeführten Knotenpool manuell aktiviert haben, bleibt SMT trotz dieses Problems weiterhin manuell aktiviert.

Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Das folgende Istio-CVE macht Anthos Service Mesh für eine remote ausnutzbare Sicherheitslücke aus:

• CVE-2022-24726: Die Istio-Steuerungsebene "istiod" ist anfällig für Anfrageverarbeitungsfehler. Dadurch kann ein böswilliger Angreifer eine speziell entwickelte Nachricht senden. Dies führt dazu, dass die Steuerungsebene abstürzt, wenn der validierende Webhook für einen Cluster öffentlich verfügbar gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert aber keine Authentifizierung durch den Angreifer.

Eine Anleitung und weitere Informationen finden Sie im folgenden Sicherheitsbulletin:

• Anthos Service Mesh-Sicherheitsbulletin.

• CVE-2022-24726

Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden.

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin

Update vom 28.04.2022 : Es wurden Versionen von GKE auf VMware hinzugefügt, die diese Sicherheitslücken beheben. Weitere Informationen finden Sie im Sicherheitsbulletin für GKE on VMware.

• CVE-2022-23606: Wenn ein Cluster über den Cluster Discovery Service (CDS) gelöscht wird, werden alle inaktiven Verbindungen zu Endpunkten in diesem Cluster getrennt. In Envoy-Version 1.19 wurde fälschlicherweise eine Rekursion mit dem Verfahren zum Trennen inaktiver Verbindungen eingeführt, was zu einer Überlastung des Stacks und einer abnormalen Prozessbeendigung führen kann, wenn ein Cluster eine große Anzahl inaktiver Verbindungen hat.
• CVE-2022-21655: Beim internen Weiterleitungscode von Envoy wird davon ausgegangen, dass ein Routeneintrag vorhanden ist. Wenn eine interne Weiterleitung zu einer Route durchgeführt wird, die einen Direct-Response-Eintrag und keinen Routeneintrag hat, führt dies zur Ableitung eines Nullzeigers und zum Absturz.
• CVE-2021-43826 Wenn Envoy für die Verwendung von tcp_proxy konfiguriert ist, das Upstream-Tunneling (über HTTP) und Downstream-TLS-Terminierung verwendet, stürzt Envoy ab, wenn der Downstream-Client während des TLS-Handshakes getrennt wird, während der Upstream-HTTP-Stream noch eingerichtet wird. Die Verbindung zum Downstream kann entweder client- oder serverseitig ausgelöst werden. Die Verbindung des Clients kann aus beliebigem Grund getrennt werden. Die Verbindung des Servers kann beispielsweise getrennt werden, wenn er keine TLS-Chiffren oder TLS-Protokollversionen hat, die mit dem Client kompatibel sind. Möglicherweise kann dieser Absturz auch in anderen Downstream-Konfigurationen ausgelöst werden.
• CVE-2021-43825: Beim Senden einer lokal generierten Antwort muss die weitere Verarbeitung von Anfrage- oder Antwortdaten beendet werden. Envoy verfolgt die Menge der zwischengespeicherten Anfrage- und Antwortdaten und bricht die Anfrage ab, wenn die Menge der zwischengespeicherten Daten das Limit überschreitet. Dazu werden 413- oder 500-Antworten gesendet. Wenn jedoch eine lokal generierte Antwort aufgrund eines internen Pufferüberlaufs gesendet wird, während die Antwort von der Filterkette verarbeitet wird, wird der Vorgang möglicherweise nicht korrekt abgebrochen und führt zu einem Zugriff auf einen freigegebenen Speicherblock.
• CVE-2021-43824: Envoy stürzt ab, wenn der JWT-Filter mit einer Übereinstimmungsregel "safe_regex" und einer speziell erstellten Anfrage wie "CONNECT host:port HTTP/1.1" verwendet wird. Wenn der JWT-Filter erreicht wird, sollte eine „safe_regex“-Regel den URL-Pfad auswerten, aber hier ist keiner vorhanden und Envoy stürzt mit „segFehler“ ab.
• CVE-2022-21654: Envoy lässt die Wiederaufnahme von TLS-Sitzungen fälschlicherweise zu, nachdem die mTLS-Validierungseinstellungen neu konfiguriert wurden. Wenn ein Clientzertifikat in der alten Konfiguration zulässig, in der neuen Konfiguration jedoch nicht zugelassen war, kann der Client die vorherige TLS-Sitzung fortsetzen, obwohl die aktuelle Konfiguration dies nicht zulassen sollte. Folgende Änderungen sind betroffen:
  • match_subject_alt_names
  • Änderungen der Zertifikatssperrliste
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657: Envoy schränkt die vom Peer akzeptierten Zertifikate nicht als TLS-Client oder TLS-Server auf die Zertifikate ein, die den erforderlichen erweiterten Schlüsselverwendung (id-kp-serverAuth bzw. id-kp-clientAuth) enthalten. Das bedeutet, dass ein Peer ein E-Mail-Zertifikat (z.B. id-kp-emailProtection) entweder als untergeordnetes Zertifikat oder als Zertifizierungsstelle in der Kette präsentieren kann und für TLS akzeptiert wird. Dies ist in Kombination mit CVE-2022-21656 besonders schlecht, da eine Web-PKI-Zertifizierungsstelle, die nur für die Verwendung mit S/MIME vorgesehen und daher von Audit oder Überwachung ausgenommen ist, TLS-Zertifikate ausstellen kann, die von Envoy akzeptiert werden.
• CVE-2022-21656: Bei der Validierungsimplementierung, die zur Implementierung der Standardroutinen für die Zertifikatsprüfung verwendet wird, tritt bei der Verarbeitung von subjectAltNames ein Fehler aufgrund von „Typverwechslung“ auf. Durch diese Verarbeitung kann z. B. ein rfc822Name oder uniformResourceIndicator als Domainname authentifiziert werden. Diese Verwirrung ermöglicht die Umgehung von nameConstraints, wie sie von der zugrunde liegenden OpenSSL/BoringSSL-Implementierung verarbeitet werden, wodurch sich die Möglichkeit der Identitätsübernahme eines beliebigen Servers ergibt.

• Anthos Service Mesh-Sicherheitsbulletin

• Istio on GKE-Sicherheitsbulletin

• GKE
• GKE auf VMware
• Google Distributed Cloud Virtual for Bare Metal

Die folgenden Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio in GKE für remote ausnutzbare Sicherheitslücken aus:

• CVE-2022-23635: Istiod stürzt beim Empfang von Anfragen mit einem speziell entwickelten authorization-Header ab.
• CVE-2021-43824: Potenzielle Nullzeigerdereferenz bei Verwendung des JWT-Filters safe_regex
• CVE-2021-43825: Use-After-Free, wenn Antwortfilter die Antwortdaten erhöhen und eine größere Datenmenge die nachgelagerten Pufferlimits überschreitet.
• CVE-2021-43826: Use-After-Free beim Tunneling von TCP über HTTP, wenn Downstream während des Upstream-Verbindungsaufbaus getrennt wird.
• CVE-2022-21654: Falsche Konfigurationsbehandlung ermöglicht die Wiederverwendung von mTLS-Sitzungen ohne erneute Validierung, nachdem die Validierungseinstellungen geändert wurden.
• CVE-2022-21655: Falsche Verarbeitung interner Weiterleitungen zu Routen mit einem Direct-Response-Eintrag.
• CVE-2022-23606: Stack-Erschöpfung, wenn ein Cluster über den Cluster Discovery Service gelöscht wird.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Sicherheitsbulletins:

• Anthos Service Mesh-Sicherheitsbulletin.
• Istio on GKE-Sicherheitsbulletin.

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

Aktualisierung vom 16. Mai 2022:GKE-Version 1.19.16-gke.7800 oder höher wurde der Liste der Versionen hinzugefügt, die Code zum Beheben dieser Sicherheitslücke enthalten. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Aktualisierung vom 12. Mai 2022:Die Versionen GKE, GKE on VMware, GKE on AWS und GKE on Azure wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin

In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE in Azure-Sicherheitsbulletin

Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE in Azure-Sicherheitsbulletin

In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE in Azure-Sicherheitsbulletin

Aktualisierung vom 25. Februar 2022:Die GKE-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin

Aktualisierung vom 23. Februar 2022 : Die Versionen von GKE und GKE on VMware wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware

Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar.

Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) und GKE on Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den Versionshinweisen zu COS.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Beim Parsen von Binärdaten wurde ein potenzielles Denial of Service-Problem in protobuf-java erkannt.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [JRuby-Gem] (3.19.2)

Protobuf-Nutzer mit Javalite (normalerweise Android) sind davon nicht betroffen.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

Eine Schwäche bei der Implementierung bei der Analyse unbekannter Felder in Java. Eine kleine schädliche Nutzlast (~800 KB) kann den Parser mehrere Minuten lang belasten, da eine große Anzahl von kurzlebigen Objekten erstellt wird, die häufige, wiederholte Pausen bei der automatischen Speicherbereinigung verursachen.

Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Es gibt ein bekanntes Problem, das Auftritt, wenn eine BackendConfig-Ressource mithilfe der v1beta1 API aktualisiert wird, was dazu führen kann, dass eine aktive Google Cloud Armor-Sicherheitsrichtlinie aus ihrem Dienst entfernt wird.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Im GKE Enterprise Identity Service (AIS) LDAP-Modul von GKE in den VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke entdeckt, bei der ein Seed-Schlüssel zum Generieren von Schlüsseln vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren.

Eine Anleitung und weitere Informationen finden Sie im Sicherheitsbulletin für GKE on VMware.

In Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Gemäß dem VMware-Sicherheitshinweis VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß dem VMware-Sicherheitshinweis auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Bestimmte Google Cloud-Load-Balancer, die Weiterleitungen an einen für das Identity-Aware Proxy (IAP) aktivierten Back-End-Dienst vornehmen, können unter bestimmten Bedingungen von einer nicht vertrauenswürdige Partei missbraucht werden. Damit wurde ein über das Prämienprogramm für die Meldung von Sicherheitslücken gemeldetes Problem behoben.

• HTTP(S)-Load-Balancer waren und
• ein Standard-Back-End oder ein Back-End mit einer Platzhalter-Hostzuordnungsregel (d. h. host="*") nutzten

Darüber hinaus musste ein Nutzer in Ihrer Organisation auf einen speziell erstellten Link geklickt haben, der von einer nicht vertrauenswürdigen Partei gesendet wurde.

Dieses Problem wurde behoben. IAP wurde am 17. September 2021 so aktualisiert, dass Cookies nur noch für autorisierte Hosts ausgegeben werden. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load-Balancern installiert sind.

Was muss ich tun?

Einigen Ihrer Nutzer:innen wird möglicherweise beim Versuch, auf Anwendungen oder Dienste zuzugreifen, die Antwort „HTTP 401 – Unauthorized“ mit dem IAP-Fehlercode 52 angezeigt. Dieser Fehlercode bedeutet, dass der Client einen Host-Header gesendet hat, der nicht mit einem der Subject-Alternative-Namen übereinstimmt, die mit den SSL-Zertifikaten des Load-Balancers verknüpft sind. Load-Balancer-Administratoren müssen das SSL-Zertifikat aktualisieren, damit die SAN (Subject Alternative Name)-Liste alle Hostnamen enthält, über die Nutzer auf IAP-geschützte Anwendungen oder Dienste zugreifen. Hier finden Sie weitere Informationen zu IAP-Fehlercodes.

Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 23. 09. 2021: Container, die in der GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke für Angriffe aus dem Container nicht betroffen.

Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin.
• GKE on AWS-Sicherheitsbulletin.

Folgende Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio on GKE für remote Angriffe verwundbar:

• CVE-2021-39156: HTTP-Anfragen mit einem Fragment (einem Abschnitt am Ende eines URI, der mit einem #-Zeichen beginnt) im URI-Pfad können die pfadbasierten Autorisierungsrichtlinien von Istio umgehen.
• CVE-2021-39155: HTTP-Anfragen können möglicherweise eine Istio-Autorisierungsrichtlinie umgehen, wenn Sie Regeln auf Grundlage von hosts oder notHosts verwenden.
• CVE-2021-32781: Wirkt sich auf die Envoy-Erweiterungen decompressor, json-transcoder oder grpc-web oder auf proprietäre Erweiterungen aus, die die Anfrage- oder Antworttexte ändern und vergrößern. Das Ändern und Erhöhen der Textgröße in der Envoy-Erweiterung über die interne Puffergröße hinaus kann dazu führen, dass Envoy auf den freigegebenen Speicher zugreift und anormal beendet wird.
• CVE-2021-32780: Ein nicht vertrauenswürdiger Upstream-Dienst kann dazu führen, dass Envoy ungewöhnlich beendet wird, indem der GOAWAY-Frame gefolgt vom SETTINGS-Frame gesendet wird, wobei der Parameter SETTINGS_MAX_CONCURRENT_STREAMS auf 0 gesetzt ist. (Nicht anwendbar auf Istio on GKE)
• CVE-2021-32778: Ein Envoy-Client, der eine große Anzahl von HTTP/2-Anfragen öffnet und dann zurückgesetzt, kann zu einem übermäßigen CPU-Verbrauch führen. (Nicht anwendbar auf Istio on GKE)
• CVE-2021-32777: HTTP-Anfragen mit mehreren Wert-Headern können bei Verwendung der ext_authz-Erweiterung eine unvollständige Prüfung der Autorisierungsrichtlinie bedingen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Anthos Service Mesh-Sicherheitsbulletin.
• Istio on GKE-Sicherheitsbulletin.

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell eine Container-Aufschlüsselung zum Root auf dem Host verursachen kann. Diese Sicherheitslücke betrifft alle GKE-Cluster und GKE on VMware mit Linux-Version 2.6.19 oder höher.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin.
• Sicherheitsbulletin für GKE auf VMware.

Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Das Istio-Projekt hat vor Kurzem eine Sicherheitslücke gemeldet, über die auf in den Feldern "Gateway" und "DestinationRule credentialName" angegebenen Anmeldedaten von verschiedenen Namespaces aus zugegriffen werden kann.

Produktspezifische Anleitungen und weitere Informationen finden Sie unter:

• Anthos Service Mesh-Sicherheitsbulletin.
• GKE Enterprise-Sicherheitsbulletin GCP-2021-012 mit spezifischen Informationen zu Google Kubernetes Engine, Google Distributed Cloud Virtual for Bare Metal und GKE on VMware.

Aktualisierung 19.10.2021:

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Gemäß VMware-Sicherheitshinweis VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches gemäß dem VMware-Sicherheitshinweis für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen, die in Ihrer privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Patches hinweisen. Sie können sich darauf verlassen, dass entsprechende Patches installiert und Ihre Umgebung vor diesen Sicherheitslücken geschützt wird.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Wie gehe ich am besten vor?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Istio enthält eine remote ausnutzbare Sicherheitslücke, über die ein externer Client auf unerwartete Dienste im Cluster zugreifen kann, um Autorisierungsprüfungen zu umgehen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist.

Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Hoch

Istio enthält eine remote ausnutzbare Sicherheitslücke, über die ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder maskierten Schrägstrichen (%2F oder %5C) möglicherweise eine Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Hoch

Beim Istio-Projekt wurde vor Kurzem eine neue Sicherheitslücke (CVE-2021-31920) disclosed, die Istio betrifft.

Istio enthält eine remote ausnutzbare Sicherheitslücke, über die eine HTTP-Anfrage mit mehreren Schrägstrichen oder Escapezeichen die Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin

Hoch

Eine gemeldete Sicherheitslücke hat gezeigt, dass Envoy die maskierten Schrägstrich-Sequenzen %2F und %5C in HTTP-URL-Pfaden in den Envoy-Versionen bis 1.18.2 nicht decodiert. Darüber hinaus aktivieren einige Envoy-basierte Produkte keine Steuerelemente zur Pfadnormalisierung. Ein Remote-Angreifer kann einen Pfad mit maskierten Schrägstrichen erstellen (z. B. /something%2F..%2Fadmin,), um die Zugriffssteuerung zu umgehen (z. B. einen Block auf /admin). Ein Back-End-Server könnte dann die Schrägstrich-Sequenzen decodieren und den Pfad normalisieren, um Angreifern Zugriff über den durch die Zugriffssteuerungsrichtlinie zugelassenen Umfang hinaus zu ermöglichen.

Was soll ich tun?

Wenn Back-End-Server / und %2F oder \ und %5C austauschbar behandeln und ein URL-Pfad-basierter Abgleich konfiguriert ist, empfehlen wir, den Back-End-Server so neu zu konfigurieren, dass er \ und %2F oder \ und %5C nicht mehr austauschbar behandelt, wenn möglich.

Welche Verhaltensänderungen wurden eingeführt?

Die Optionen normalize_path und angrenzende Schrägstriche zusammenführen von Envoy wurden aktiviert, um andere gängige Sicherheitslücken im Zusammenhang mit der Verwechslung von Pfaden in Envoy-basierten Produkten zu beheben.

Hoch

Bei den Projekten Envoy und Istio wurden kürzlich mehrere neue Sicherheitslücken angekündigt (CVE-2021-28683, CVE-2021-28682 und CVE-2021-29258), die einen Absturz von Envoy ermöglichen könnten.

In Google Kubernetes Engine-Clustern wird Istio nicht standardmäßig ausgeführt und daher sind sie nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein.

Google Distributed Cloud Virtual for Bare Metal und GKE on VMware verwenden standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial-of-Service sind.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Mittel

• CVE-2021-28683
• CVE-2021-28682
• CVE-2021-29258

Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke ( CVE-2021-25735) bekanntgegeben. Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Mittel

CVE-2021-25735

Im VMware-Sicherheitshinweis VMSA-2021-0002 hat VMware Berichte über mehrere Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend dem VMware-Sicherheitshinweis bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Wie gehe ich am besten vor?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974

Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

Die zugrunde liegende Infrastruktur, auf der Compute Engine ausgeführt wird, ist von dieser Sicherheitslücke nicht betroffen.

Alle Cluster der Google Kubernetes Engine (GKE), GKE on VMware, GKE on AWS und Google Distributed Cloud Virtual for Bare Metal sind von dieser Sicherheitslücke nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal
• Compute Engine-Sicherheitsbulletin

Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.

gcloud container clusters update –no-enable-service-externalips

1. Ab GKE-Version 1.21 werden Dienste mit ExternalIPs durch einen DenyServiceExternalIPs-Admission-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
2. Kunden, die ein Upgrade auf die GKE-Version 1.21 durchführen, können Dienste mit ExternalIPs mit dem folgenden Befehl blockieren:

   
   gcloud container clusters update –no-enable-service-externalips
   

Weitere Informationen finden Sie unter Cluster härten.

Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

Alle Cluster der Google Kubernetes Engine (GKE), GKE on VMware und GKE on AWS sind von dieser Sicherheitslücke betroffen.

Wie gehe ich am besten vor?

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin

Mittel

Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

• CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
• CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
• CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
• CVE-2020-8566: Ceph RBD adminSecrets in Logs mit loglevel >= 4 offengelegt

Wie gehe ich am besten vor?

Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

Keine

• CVE-2020-8563
• CVE-2020-8564
• CVE-2020-8565
• CVE-2020-8566

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) ist nicht betroffen.

GKE On-Prem

GKE On-Prem ist nicht betroffen.

GKE on AWS

GKE on AWS ist nicht betroffen.

CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen.

NVD Base Score: 10 (Kritisch)

CVE-2020-1472

Compute Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten darauf achten, dass auf ihre Instanzen der neueste Windows-Patch aufgespielt wurde oder sie nach dem 17.08.2020 veröffentlichte Windows Server-Images nutzen (Version 20200813 oder höher).

Google Kubernetes Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die Domain-Controller in ihren GKE Windows Server-Knoten hosten, sollten sicherstellen, dass sowohl die Knoten als auch die Arbeitslasten in den Containern, die auf diesen Knoten ausgeführt werden, das neueste Windows-Knoten-Image haben, wenn es verfügbar ist. Eine neue Node-Image-Version wird im Oktober in den GKE-Versionshinweisen angekündigt.

Managed Service for Microsoft Active Directory

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Der von Microsoft veröffentlichte August-Patch, der Korrekturen an dem NetLogon-Protokoll enthält, wurde auf alle verwalteten Microsoft AD-Domaincontroller angewendet. Dieser Patch bietet Funktionen zum Schutz vor potenziellen Angriffen. Der rechtzeitige Einsatz von Patches ist einer der Hauptvorteile des Managed Service for Microsoft Active Directory. Kunden, die Microsoft Active Directory manuell ausführen (und nicht den verwalteten Google Cloud-Dienst verwenden) sollten darauf achten, dass ihre Instanzen den neuesten Windows-Patch aufgespielt haben oder Windows Server-Images verwenden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin.
• Sicherheitsbulletin für GKE auf VMware.
• GKE on AWS-Sicherheitsbulletin.

Hoch

CVE-2020-14386

Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin

Niedrig (GKE und GKE on AWS),
Mittel (GKE auf VMware)

CVE-2020-8558

CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden.

NVD Base Score: 10.0 (Kritisch)

CVE-2020-1350

Compute Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen verwenden, auf denen Windows Server in einer DNS-Serverkapazität ausgeführt wird, sollten darauf achten, dass ihre Instanzen über den neuesten Windows-Patch verfügen oder Windows Server-Images verwenden, die seit dem 14.07.2020 bereitgestellt werden.

Google Kubernetes Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten in einer DNS-Serverkapazität verwenden, müssen die Knoten und die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, manuell auf eine Windows-Serverversion aktualisieren, die die Fehlerbehebung beinhaltet.

Managed Service for Microsoft Active Directory

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 14. Juli 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin

Mittel

CVE-2020-8559

Beschreibung

VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin

Mittel

CVE-2020-8555

Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GKE auf VMware
• GKE auf AWS-Sicherheitsbulletin

Mittel

Kubernetes-Problem 91507

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, um Root-Berechtigungen auf dem Hostknoten zu erhalten.

GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen.

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Hoch

CVE-2020-8835

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft.

Mittel

CVE-2020-8551

CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2020-8552

CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.

NVD Base Score: 8,1 (hoch)

CVE-2020-0601

Compute Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Google Kubernetes Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerbasierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Managed Service for Microsoft Active Directory

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS).

Mittel

CVE-2019-11135

CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt.

Mittel

CVE-2018-12207

Compute Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

N2-, C2- oder M2-Kunden, die auf virtuellen Maschinen von Compute Engine für ihre eigenen Dienste mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten ihre VMs beenden und wieder starten, um zu gewährleisten, dass die neuesten Sicherheitsmaßnahmen vorliegen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Google Kubernetes Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Wenn Sie Knotenpools mit N2-, M2- oder C2-Knoten verwenden und für diese Knoten in Ihren eigenen GKE-Clustern mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten Sie Ihre Knoten neu starten. Wenn Sie alle Knoten in Ihrem Knotenpool neu starten möchten, müssen Sie den betroffenen Knotenpool aktualisieren.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

App Engine-Standardumgebung

Es sind keine weiteren Maßnahmen erforderlich.

Flexible App Engine-Umgebung

CVE-2019-11135

Es sind keine weiteren Maßnahmen erforderlich.

Kunden sollten sich die Best Practices von Intel bezüglich der Freigabe auf Anwendungsebene durchlesen. Diese kann innerhalb einer Flex-VM zwischen Hyperthreads auftreten.

CVE-2018-12207

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Run

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Functions

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Composer

Es sind keine weiteren Maßnahmen erforderlich.

Dataflow

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Dataflow-Kunden, die mehrere von Dataflow verwaltete, nicht vertrauenswürdige Arbeitslasten auf N2-, C2- oder M2-VMs in Compute Engine ausführen und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten alle aktuell ausgeführten Streamingpipelines neu starten. Optional können Batchpipelines beendet und neu ausgeführt werden. Für Pipelines, die nach dem heutigen Datum gestartet werden, sind keine Maßnahmen erforderlich.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Dataproc

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud Dataproc-Kunden, die mehrere nicht vertrauenswürdige Arbeitslasten auf demselben Cloud Dataproc-Cluster ausführen, der auf N2-, C2- oder M2-VMs in Compute Engine ausgeführt wird, und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten ihre Cluster neu bereitstellen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud SQL

Es sind keine weiteren Maßnahmen erforderlich.