Sicherheitsbulletins

Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, darunter auch auf dem von Kubernetes verwendeten golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Compute Engine ist nicht von CVE-2024-3094 betroffen, das die Versionen 5.6.0 und 5.6.1 des xz-utils-Pakets in der liblzma-Bibliothek betrifft und zu einer Kompromittierung des OpenSSH-Dienstprogramms führen könnte.

Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Forscher haben eine Sicherheitslücke (CVE-2023-48022) in Ray entdeckt. Ray ist ein Open-Source-Tool eines Drittanbieters für KI-Arbeitslasten. Da Ray keine Authentifizierung erfordert, können Angreifer Code per Fernzugriff ausführen, indem sie Jobs an öffentlich zugängliche Instanzen senden. Die Sicherheitslücke wurde von Anyscale angefochten, dem Entwickler von Ray. Ray behält, dass seine Funktionen ein beabsichtigtes, zentrales Produktfeature sind, und diese Sicherheitsmaßnahmen müssen stattdessen außerhalb eines Ray-Clusters implementiert werden, da eine unbeabsichtigte Gefährdung des Ray-Clusters im Netzwerk zu Kompromittierungen führen könnte.

Auf der Grundlage der Antwort wird dieses CVE umstritten und wird möglicherweise nicht in Scanner für Sicherheitslücken angezeigt. Trotzdem wird sie aktiv ausgenutzt und Nutzer sollten ihre Nutzung wie unten beschrieben konfigurieren.

Was soll ich tun?

Folgen Sie den Best Practices und Richtlinien von Ray, einschließlich der Ausführung von vertrauenswürdigem Code in vertrauenswürdigen Netzwerken, um Ihre Ray-Arbeitslasten zu schützen. Die Bereitstellung von ray.io in den Cloud-Instanzen der Kunden fällt unter das Modell der gemeinsamen Verantwortung.

Zur Sicherheit von Google Kubernetes Engine (GKE) wurde ein Blog zum Härten von Ray in GKE veröffentlicht.

Weitere Informationen zum Hinzufügen von Authentifizierung und Autorisierung zu Ray-Diensten finden Sie in der Dokumentation zu Identity-Aware Proxy (IAP). GKE-Nutzer können IAP gemäß dieser Anleitung implementieren oder Terraform-Module wiederverwenden, die im Blog verlinkt sind.

Aktualisierung vom 4. April 2024:Die Mindestversionen für GKE Container-Optimized OS-Knotenpools wurden korrigiert.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

VMware hat in VMSA-2024-0006 mehrere Sicherheitslücken offengelegt, die ESXi-Komponenten betreffen, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen von Cloud Customer Care

Ihre privaten Clouds wurden aktualisiert, um die Sicherheitslücke zu schließen.

Wie gehe ich am besten vor?

Es besteht Ihrerseits kein Handlungsbedarf.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 17. April 2024:Patchversionen für GKE on VMware hinzugefügt.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Am 13. Februar 2024 hat AMD zwei Sicherheitslücken offengelegt, die SEV-SNP auf EPYC-CPUs betreffen, die auf den Zen-Kernen „Mailand“ der dritten und der vierten Generation basieren. Durch die Sicherheitslücken können privilegierte Angreifer auf veraltete Gastdaten zugreifen oder die Gastintegrität beeinträchtigen.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um die Kunden zu schützen. Derzeit liegen keine Hinweise auf eine Ausbeutung vor oder es wurden Google keine Hinweise auf eine Ausbeutung gefunden.

Was soll ich tun?

Der Kunde muss nichts weiter tun. Die Fehlerbehebungen für die Google-Serverflotte für Google Cloud, einschließlich Compute Engine, wurden bereits angewendet.

Weitere Informationen finden Sie im AMD-Sicherheitshinweis AMD-SN-3007.

• CVE-2023-31346
• CVE-2023-31347

Mit CVE-2023-5528 kann ein Angreifer Pods und nichtflüchtige Volumes auf Windows-Knoten so erstellen, dass die Ausweitung der Administratorrechte auf diesen Knoten ermöglicht wird.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden CVEs machen Anthos Service Mesh für ausnutzbare Sicherheitslücken sichtbar:

• CVE-2024-23322: Envoy stürzt bei Inaktivität ab und Anfragen pro Versuch treten innerhalb des Backoff-Intervalls auf.
• CVE-2024-23323: Übermäßige CPU-Auslastung, wenn der URI-Vorlagen-Matcher mit Regex konfiguriert wird.
• CVE-2024-23324: Die externe Autorisierung kann umgangen werden, wenn der Proxy-Protokollfilter ungültige UTF-8-Metadaten festlegt.
• Envoy stürzt ab, wenn ein Adresstyp verwendet wird, der vom Betriebssystem nicht unterstützt wird.
• CVE-2024-23327: Absturz im Proxyprotokoll, wenn Befehlstyp LOCAL ist.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

Wenn ein Apigee API-Verwaltungs-Proxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy keine Validierung des Hostnamens für das vom Zielendpunkt oder Zielproxy bereitgestellte Zertifikat durch. Wenn die Validierung des Hostnamens nicht mit einer der folgenden Optionen aktiviert ist, besteht für Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, möglicherweise das Risiko eines Man-in-the-Middle-Angriffs durch einen autorisierten Nutzer. Weitere Informationen finden Sie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren.

Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen:

• Apigee Edge for Public Cloud
• Apigee Edge for Private Cloud

Eine Anleitung und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.

Aktualisierung vom 02. April 2024: Patchversionen für GKE on Bare Metal hinzugefügt

Update vom 06.03.2024: Patchversionen für GKE on VMware hinzugefügt

Update vom 28.02.2024: Patchversionen für Ubuntu hinzugefügt

Aktualisierung vom 15. Februar 2024: Es wurde klargestellt, dass die Ubuntu-Patchversionen 1.25 und 1.26 im Update vom 14.02.2024 zu fehlerhaften Knoten führen können.

Update vom 14.02.2024: Patchversionen für Ubuntu hinzugefügt

Aktualisierung vom 06.02.2024 : Patchversionen für Container-Optimized OS wurden hinzugefügt.

In runc wurde eine Sicherheitslücke (CVE-2024-21626) festgestellt. Dabei kann ein Nutzer mit der Berechtigung zum Erstellen von Pods auf Knoten mit Container-Optimized OS und Ubuntu möglicherweise vollen Zugriff auf das Knotendateisystem erhalten.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Update vom 07.02.2024 : Patchversionen für Ubuntu wurden hinzugefügt.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 26.01.2024:Die Anzahl der betroffenen Cluster und die Maßnahmen, die wir ergriffen haben, um die Auswirkungen zu verringern, wurden klarer formuliert. Weitere Informationen finden Sie im Sicherheitsbulletin zu GCP-2024-003.

Es wurden mehrere Cluster gefunden, in denen Nutzer der Gruppe system:authenticated Kubernetes-Berechtigungen erteilt haben. Dazu gehören alle Nutzer mit einem Google-Konto. Diese Arten von Bindungen werden nicht empfohlen, da sie gegen das Prinzip der geringsten Berechtigung verstoßen und sehr großen Nutzergruppen Zugriff gewähren. In der Anleitung unter Was soll ich tun? erfahren Sie, wie Sie diese Arten von Bindungen finden.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin

Update vom 20.02.2024:Patchversionen für GKE on VMware hinzugefügt.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Knoten mit Container-Optimized OS führen können.

• CVE-2023-6111

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

In der TianoCore EDK II UEFI-Firmware wurden mehrere Sicherheitslücken entdeckt. Diese Firmware wird in Google Compute Engine-VMs verwendet. Wenn die Sicherheitslücken ausgenutzt werden, können sie Secure Boot umgehen und somit falsche Messungen im Secure Boot-Prozess liefern, auch bei der Verwendung in Shielded VMs.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun. Google hat diese Sicherheitslücke in der Compute Engine geschlossen und alle VMs sind vor dieser Sicherheitslücke geschützt.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit diesem Patch wurden die folgenden Sicherheitslücken behoben:

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Ein Angreifer, der den Fluent Bit-Logging-Container manipuliert hat, könnte diesen Zugriff mit hohen Berechtigungen kombinieren, die von Anthos Service Mesh (auf Clustern, die es aktiviert haben) benötigen, um Berechtigungen im Cluster auszuweiten.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 04. März 2024 : GKE-Versionen für GKE on VMware wurden hinzugefügt.

Update vom 22.01.2024:Ubuntu-Patchversionen wurden hinzugefügt.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Am 14. November hat AMD mehrere Sicherheitslücken offengelegt, die verschiedene AMD-Server-CPUs betreffen. Die Sicherheitslücken betreffen insbesondere EPYC-Server-CPUs, die Zen-Kern der Generation 2 „Rome“, der Generation 3 „Mailand“ und der Generation 4 „Genoa“ nutzen.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um die Kunden zu schützen. Derzeit liegen keine Hinweise auf eine Ausbeutung vor oder es wurden Google keine Hinweise darauf gemeldet.

Was soll ich tun?

Der Kunde muss nichts weiter tun.

Die Fehlerbehebungen für die Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, wurden bereits angewendet.

Welche Sicherheitslücken werden behoben?

Mit diesem Patch wurden die folgenden Sicherheitslücken behoben:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Weitere Informationen finden Sie im AMD-Sicherheitshinweis AMD-SN-3005: „AMD INVD Instruction Security Notice“, der auch als CacheWarp veröffentlicht wurde, und AMD-SN-3002: „AMD Server Vulnerabilities – November 2023“.

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel hat eine CPU-Sicherheitslücke bei bestimmten Prozessoren offengelegt. Google hat Maßnahmen ergriffen, um seine Server, einschließlich der Google Compute Engine für Google Cloud und ChromeOS-Geräte, zu schützen.

Details zur Sicherheitslücke:

• CVE-2023-23583

Was soll ich tun?

Der Kunde muss nichts weiter tun.

Die von Intel für die betroffenen Prozessoren bereitgestellten Abhilfemaßnahmen wurden auf die Serverflotte von Google, einschließlich Google Compute Engine für Google Cloud, angewendet.

Derzeit erfordert Google Distributed Cloud Edge ein Update vom OEM. Google korrigiert das Produkt, sobald das Update verfügbar ist, und dieses Bulletin wird entsprechend aktualisiert.

Chrome OS-Geräte mit den betroffenen Prozessoren wurden mit den Versionen 119, 118 und 114 automatisch behoben.

Welche Sicherheitslücken werden behoben?

CVE-2023-23583. Weitere Informationen finden Sie unter Intel Security Advisory INTEL-SA-00950.

Aktualisierung vom 15. November 2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 05.12.2023:Zusätzliche GKE-Versionen für Container-Optimized OS-Knotenpools wurden hinzugefügt.

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Aktualisierung vom 16.11.2023:Die Sicherheitslücke in diesem Sicherheitsbulletin lautet CVE-2023-4622. CVE-2023-4623 wurde in einer früheren Version des Sicherheitsbulletins fälschlicherweise als Sicherheitslücke aufgeführt.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Deep Learning VM Images ist ein Satz von vorgefertigten und sofort einsatzbereiten VM-Images mit einem Deep Learning Framework. Vor Kurzem wurde in der Funktion „ReadHuffmanCodes()“ der Bibliothek „libwebp“ eine Sicherheitslücke beim Schreiben außerhalb des Bereichs entdeckt. Dies kann sich auf Images auswirken, die diese Bibliothek verwenden.

Google Cloud scannt seine öffentlich veröffentlichten Images kontinuierlich und aktualisiert die Pakete, damit gepatchte Distributionen in den neuesten Releases enthalten sind, die für die Kundenakzeptanz verfügbar sind. Deep Learning VM Images wurden aktualisiert, damit die neuesten VM-Images die gepatchten Distributionen enthalten. Kunden, die die neuesten VM-Images verwenden, sind von dieser Sicherheitslücke nicht betroffen.

Was soll ich tun?

Google Cloud-Kunden, die veröffentlichte VM-Images verwenden, sollten darauf achten, dass sie die neuesten Images verwenden und ihre Umgebungen gemäß dem Modell der geteilten Verantwortung auf dem neuesten Stand haben.

CVE-2023-4863 könnte von einem Angreifer ausgenutzt werden, um beliebigen Code auszuführen. Diese Sicherheitslücke wurde in Google Chrome vor 116.0.5845.187 und in "libwebp" vor 1.3.2 gefunden und ist unter CVE-2023-4863 aufgeführt.

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

VMware hat in VMSA-2023-0023 mehrere Sicherheitslücken offengelegt, die vCenter-Komponenten in Kundenumgebungen betreffen.

Auswirkungen von Cloud Customer Care

• Die Sicherheitslücke kann durch den Zugriff auf bestimmte Ports in vCenter Server ausgenutzt werden. Diese Ports sind nicht für das öffentliche Internet freigegeben.
• Wenn Ihre vCenter-Ports 2012/tcp, 2014/tcp und 2020/tcp für nicht vertrauenswürdige Systeme nicht zugänglich sind, sind Sie dieser Sicherheitslücke nicht ausgesetzt.
• Google hat die anfälligen Ports auf vCenter-Server bereits blockiert, wodurch ein potenzieller Ausnutzen dieser Sicherheitslücke verhindert wird.
• Darüber hinaus sorgt Google dafür, dass alle zukünftigen Bereitstellungen von vCenter Server nicht dieser Sicherheitslücke ausgesetzt sind.
• Zum Zeitpunkt des Bulletins war VMware noch nichts von einer Ausnutzung „in der Wildnis“ bekannt. Weitere Informationen finden Sie in der VMware-Dokumentation.

Wie gehe ich am besten vor?

Derzeit sind keine weiteren Maßnahmen erforderlich

Update vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen und GKE Sandbox-Arbeitslasten nicht betroffen sind.

Aktualisierung vom 21.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt.

Eine DoS-Sicherheitslücke (Denial of Service) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) festgestellt, einschließlich des Apigee Ingress-Dienstes (Anthos Service Mesh), der von Apigee X und Apigee Hybrid verwendet wird. Die Sicherheitslücke könnte zu einem DoS-Angriff auf Apigee API-Verwaltungsfunktionen führen.

Eine Anleitung und weitere Details finden Sie im Apigee-Sicherheitsbulletin.

Ein Denial-of-Service-Angriff kann sich auf die Datenebene auswirken, wenn das HTTP/2-Protokoll verwendet wird. Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Aktualisierung vom 20. März 2024:Patchversionen für GKE on AWS und GKE on Azure mit den neuesten Patches für CVE-2023-44487 wurden hinzugefügt.

Aktualisierung vom 14. Februar 2024:Patchversionen für GKE on VMware hinzugefügt.

Aktualisierung vom 09.11.2023:CVE-2023-39325 wurde hinzugefügt. Die GKE-Versionen wurden mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert.

Vor Kurzem wurde eine DoS-Sicherheitslücke (Denial of Service) in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) entdeckt, einschließlich des von Kubernetes verwendeten golang-HTTP-Servers. Die Sicherheitslücke könnte zu einem DoS-Angriff auf die GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch den Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

TorchServe wird zum Hosten von PyTorch-Modellen für maschinelles Lernen für die Onlinevorhersage verwendet. Vertex AI bietet ein vordefiniertes PyTorch-Modell zur Bereitstellung von Containern, die von TorchServe abhängen. In TorchServe wurden kürzlich Sicherheitslücken entdeckt, mit denen Angreifer die Kontrolle über eine TorchServe-Bereitstellung übernehmen konnten, wenn deren Modellverwaltungs-API offengelegt wurde. Kunden mit PyTorch-Modellen, die für Vertex AI-Onlinevorhersagen bereitgestellt werden, sind von diesen Sicherheitslücken nicht betroffen, da Vertex AI die Modellverwaltungs-API von TorchServe nicht zugänglich macht. Kunden, die TorchServe außerhalb von Vertex AI verwenden, sollten Vorkehrungen treffen, um ihre Bereitstellungen sicher einzurichten.

Was soll ich tun?

Vertex AI-Kunden mit bereitgestellten Modellen, die die vordefinierten PyTorch-Bereitstellungscontainer von Vertex AI verwenden, müssen keine Maßnahmen zur Behebung der Sicherheitslücken ergreifen, da die Bereitstellungen von Vertex AI den Verwaltungsserver von TorchServe dem Internet nicht aussetzen.

Kunden, die die vordefinierten PyTorch-Container in anderen Kontexten verwenden oder eine benutzerdefinierte oder Drittanbieter-Distribution von TorchServe nutzen, sollten so vorgehen:

• Achten Sie darauf, dass die Modellverwaltungs-API von TorchServe nicht über das Internet zugänglich ist. Die Modellverwaltungs-API kann nur auf den lokalen Zugriff beschränkt werden. Dazu muss management_address an 127.0.0.1 gebunden sein.
• Verwenden Sie die Einstellung allowed_urls, damit Modelle nur aus vorgesehenen Quellen geladen werden können.
• Führen Sie so schnell wie möglich ein Upgrade von TorchServe auf Version 0.8.2 durch, die Lösungen für dieses Problem enthält. Als Vorsichtsmaßnahme werden feste vordefinierte Container in Vertex AI bis zum 13.10.2023 veröffentlicht.

Welche Sicherheitslücken werden behoben?

Die Verwaltungs-API von TorchServe ist in den meisten TorchServe-Docker-Images standardmäßig an 0.0.0.0 gebunden, einschließlich der von Vertex AI veröffentlichten Docker-Images, sodass sie für externe Anfragen zugänglich ist. Die Standard-IP-Adresse für die Verwaltungs-API wird in TorchServe 0.8.2 zu 127.0.0.1 geändert, um dieses Problem zu beheben.

Mit CVE-2023-43654 und CVE-2022-1471 können Nutzer mit Zugriff auf die Management API Modelle aus beliebigen Quellen laden und Code per Fernzugriff ausführen. Abhilfemaßnahmen für diese beiden Probleme sind in TorchServe 0.8.2 enthalten: Der Pfad für die Remote-Codeausführung wird entfernt und eine Warnung wird ausgegeben, wenn der Standardwert für allowed_urls verwendet wird.

Kunden können Chronicle so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets über einen Aufnahmefeed aufgenommen werden. Bis vor Kurzem stellte Chronicle ein gemeinsames Dienstkonto zur Verfügung, mit dem Kunden Berechtigungen für den Bucket erteilen. Es gab eine Möglichkeit, die Chronicle-Instanz eines Kunden so zu konfigurieren, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen werden konnten. Bei einer Wirkungsanalyse haben wir festgestellt, dass diese Schwachstelle aktuell oder in der Vergangenheit nicht ausgenutzt wurde. Die Sicherheitslücke war vor dem 19. September 2023 in allen Chronicle-Versionen vorhanden.

Was soll ich tun?

Am 19. September 2023 wurde Chronicle aktualisiert, um diese Sicherheitslücke zu schließen. Der Kunde muss nichts weiter tun.

Welche Sicherheitslücken werden behoben?

Bisher hat Chronicle ein freigegebenes Dienstkonto bereitgestellt, mit dem Kunden Berechtigungen für einen Bucket erteilen. Da verschiedene Kunden demselben Chronicle-Dienstkonto die Berechtigung für ihren Bucket gewährt haben, existierte ein Ausnutzungsvektor, über den der Feed eines Kunden beim Erstellen oder Ändern eines Feeds auf den Bucket eines anderen Kunden zugreifen konnte. Für diesen Ausnutzungsvektor war die Kenntnis des Bucket-URI erforderlich. Beim Erstellen oder Ändern von Feeds verwendet Chronicle jetzt eindeutige Dienstkonten für jeden Kunden.

VMware vCenter Server-Updates beheben mehrere Sicherheitslücken im Arbeitsspeicher (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896).

Auswirkungen der Kundenbetreuung

VMware vCenter Server (vCenter Server) und VMware Cloud Foundation (Cloud Foundation).

Wie gehe ich am besten vor?

Das hat keinerlei Auswirkungen auf die Kunden und es sind keine Maßnahmen erforderlich.

• CVE-2023-20893

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) gefunden. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, unter Umständen zu Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Intel hat vor Kurzem den Intel Security Advisory INTEL-SA-00828 angekündigt, der sich auf einige seiner Prozessorfamilien auswirkt. Wir empfehlen Ihnen, Ihre Risiken anhand der Empfehlungen einzuschätzen.

Auswirkungen auf die Google Cloud VMware Engine

Unsere Flotte nutzt die betroffenen Prozessorfamilien. In unserer Bereitstellung ist der gesamte Server einem einzelnen Kunden zugeordnet. Daher birgt unser Bereitstellungsmodell kein zusätzliches Risiko für Ihre Bewertung dieser Sicherheitslücke.

Wir arbeiten mit unseren Partnern zusammen, um die erforderlichen Patches zu beschaffen, und werden diese Patches in den nächsten Wochen nach Priorität über den Standardupgradeprozess für die gesamte Flotte bereitstellen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun. Wir arbeiten an der Aktualisierung aller betroffenen Systeme.

• CVE-2022-40982

Aktualisierung vom 10.08.2023:Die ChromeOS-Versionsnummer „Langzeitsupport“ wurde hinzugefügt.

Intel hat eine Sicherheitslücke bei ausgewählten Prozessoren offengelegt (CVE-2022-40982). Google hat Maßnahmen ergriffen, um seine Server, einschließlich Google Cloud, zu minimieren und dafür zu sorgen, dass Kunden bestmöglich geschützt sind.

Details zur Sicherheitslücke:

• CVE-2022-40982 (Intel IPU 2023.3, „GDS“ oder „Downfall“)

Was soll ich tun?

Der Kunde muss nichts weiter tun.

Alle verfügbaren Patches wurden bereits auf die Google-Serverflotte für Google Cloud angewendet, einschließlich Google Compute Engine.

Derzeit sind für die folgenden Produkte zusätzliche Aktualisierungen von Partnern und Anbietern erforderlich.

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Google Cloud-Bare-Metal-Lösung
• Evolvierter Paketkern

Google korrigiert diese Produkte, sobald die Patches verfügbar sind. Dieses Bulletin wird entsprechend aktualisiert.

Google Chromebook- und ChromeOS Flex-Kunden erhielten automatisch die von Intel zur Verfügung gestellten Abwehrmaßnahmen in den Versionen Stabil (115), LTS (108), Beta (116) und Langzeitsupport (Kandidat für Langzeitsupport). Chromebook- und ChromeOS Flex-Kunden, für die eine ältere Version verfügbar ist, sollten diese und andere Sicherheitslücken beheben und auf eine stabile Version oder auf eine Version mit Langzeitsupport umstellen.

Welche Sicherheitslücken werden behoben?

CVE-2022-40982: Weitere Informationen finden Sie unter Intel Security Advisory INTEL-SA-00828.

AMD hat eine Sicherheitslücke bei ausgewählten Prozessoren erkannt (CVE-2023-20569). Google hat Maßnahmen ergriffen, um seine Server, einschließlich Google Cloud, zu minimieren und dafür zu sorgen, dass Kunden bestmöglich geschützt sind.

Details zur Sicherheitslücke:

• CVE-2023-20569 (AMD SB-7005 oder „Inception“)

Was soll ich tun?

Nutzer von Compute Engine-VMs sollten vom Betriebssystem bereitgestellte Abhilfemaßnahmen in Betracht ziehen, wenn sie instanzinterne nicht vertrauenswürdige Codeausführung nutzen. Wir empfehlen Kunden, sich für genauere Informationen an ihre Betriebssystemanbieter zu wenden.

Die Fehlerbehebungen für die Google-Serverflotte für Google Cloud, einschließlich Google Compute Engine, wurden bereits angewendet.

Welche Sicherheitslücken werden behoben?

CVE-2023-20569 – Weitere Informationen finden Sie unter AMD SB-7005.

Google hat eine Sicherheitslücke in gRPC-C++-Implementierungen vor Version 1.57 gefunden. Dabei handelte es sich um eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC. Diese wurden in den Releases 1.53.2, 1.54.3, 1.55.2, 1.56.2 und 1.57 behoben.

Was soll ich tun?

Stellen Sie sicher, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• Die gRPC-Versionen 1.53, 1.54, 1.55 und 1.56 müssen auf die folgenden Patchversionen aktualisiert werden:
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• gRPC (C++, Python, Ruby) Versionen 1.52 und niedriger müssen auf einen der genehmigten Patchreleases aktualisiert werden. Zum Beispiel 1.53.2, 1.54.3, 1.53.4 usw.

Welche Sicherheitslücken werden behoben?

Diese Patches beheben die folgenden Sicherheitslücken:

• Denial-of-Service-Sicherheitslücke in gRPC-C++-Implementierungen: Speziell erstellte Anfragen können zur Beendigung der Verbindung zwischen einem Proxy und einem Back-End führen.

Die folgenden CVEs machen Anthos Service Mesh für ausnutzbare Sicherheitslücken sichtbar:

• CVE-2023-35941: Ein schädlicher Client kann in bestimmten Szenarien Anmeldedaten mit dauerhafter Gültigkeit erstellen. Beispielsweise kann die Kombination aus Host- und Ablaufzeit in der HMAC-Nutzlast in der HMAC-Prüfung des OAuth2-Filters immer gültig sein.
• CVE-2023-35942: gRPC-Zugriffslogger, die den globalen Bereich des Listeners verwenden, können einen Use-After-Free-Absturz verursachen, wenn der Listener per Drain beendet wird. Dies kann durch eine LDS-Aktualisierung mit derselben gRPC-Zugriffslogkonfiguration ausgelöst werden.
• CVE-2023-35943: Wenn der origin-Header so konfiguriert ist, dass er mit request_headers_to_remove: origin entfernt wird, wird der CORS-Filter segfault und stürzt Envoy ab.
• CVE-2023-35944: Angreifer können Anfragen für gemischte Schemas senden, um Schemaprüfungen in Envoy zu umgehen. Wenn beispielsweise eine HTTP-Anfrage mit gemischtem Schema an den OAuth2-Filter gesendet wird, schlägt diese die Prüfung auf genaue Übereinstimmung für HTTP fehl und informiert den Remote-Endpunkt darüber, dass das Schema HTTPS ist. Dadurch werden möglicherweise OAuth2-Prüfungen für HTTP-Anfragen umgangen.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD hat ein Mikrocode-Update veröffentlicht, um eine Sicherheitslücke in der Hardware (CVE-2023-20593) zu beheben. Google hat die erforderlichen Fehlerkorrekturen für diese Sicherheitslücke auf seine Serverflotte angewendet, einschließlich Servern für die Google Cloud Platform. Die Tests zeigen, dass es keine Auswirkungen auf die Leistung der Systeme gibt.

Was soll ich tun?

Es sind keine Maßnahmen durch den Kunden erforderlich, da die Fehlerkorrekturen bereits auf die Google-Serverflotte für die Google Cloud Platform angewendet wurden.

Welche Sicherheitslücken werden behoben?

CVE-2023-20593 behebt eine Sicherheitslücke in einigen AMD-CPUs. Weitere Informationen

In Envoy wurde eine neue Sicherheitslücke (CVE-2023-35945) entdeckt, bei der eine speziell erstellte Antwort von einem nicht vertrauenswürdigen Upstream-Dienst zu einem Denial of Service durch Arbeitsspeicherausschöpfung führen kann. Dies wird durch den HTTP/2-Codec von Envoy verursacht, der beim Empfang von RST_STREAM unmittelbar gefolgt von GOAWAY-Frames von einem Upstream-Server eine Headerzuordnung und Buchhaltungsstrukturen zu einem Leck mit einem Datenleck führt.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind davon betroffen, da GKE Autopilot-Knoten immer Knoten-Images für Container-Optimized OS verwenden. GKE-Standardcluster ab Version 1.25, auf denen Knoten-Images des Container-Optimized OS ausgeführt werden, sind davon betroffen.

GKE-Cluster sind nicht betroffen, wenn sie nur Ubuntu-Knoten-Images bzw. Versionen vor 1.25 oder GKE Sandbox ausführen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 11. Juli 2023:Neue GKE-Versionen wurden mit den neuesten Ubuntu-Versionen aktualisiert, die CVE-2023-31436 gepatcht haben.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

In Envoy wurden eine Reihe von Sicherheitslücken entdeckt, die in Anthos Service Mesh verwendet werden und es einem böswilligen Angreifer ermöglichen, einen Denial-of-Service oder Envoy-Absturz zu verursachen. Diese wurden separat als GCP-2023-002 gemeldet.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die es nicht berechtigten Nutzern ermöglichen könnte, ihre Rechte zu Root zu erweitern, wenn „io_poll_get_ownership“ den Wert von „req->poll_refs“ bei jedem „io_poll_wake“, dann auf „0“ weiter ansteigt. Dadurch wird „req->Datei“ zweimal ausgelöst und eine Struct-Datei-Ref verursacht. GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS, die die Linux-Kernel-Version 5.15 verwenden, sind betroffen. GKE-Cluster, die Ubuntu-Images oder GKE Sandbox verwenden, sind nicht betroffen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 11. August 2023 : Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und Google Distributed Cloud Virtual for Bare Metal wurden hinzugefügt.

In Kubernetes wurden zwei neue Sicherheitsprobleme festgestellt, bei denen Nutzer unter Umständen Container starten konnten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zugangs-Plug-in (CVE-2023-2728) verwenden.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Wenn Sie die Cloud Build API in einem Projekt aktivieren, erstellt Cloud Build automatisch ein Standarddienstkonto, um Builds in Ihrem Namen auszuführen. Dieses Cloud Build-Dienstkonto hatte zuvor die IAM-Berechtigung logging.privateLogEntries.list, wodurch Builds standardmäßig private Logs auflisten konnten. Diese Berechtigung wurde dem Cloud Build-Dienstkonto jetzt widerrufen, um das Sicherheitsprinzip der geringsten Berechtigung einzuhalten.

Eine Anleitung und weitere Informationen finden Sie im Cloud Build-Sicherheitsbulletin.

Google hat drei neue Sicherheitslücken in der gRPC C++-Implementierung gefunden. Diese werden demnächst als CVE-2023-1428, CVE-2023-32731 und CVE-2023-32732 veröffentlicht.

Im April haben wir zwei Sicherheitslücken in den Releases 1.53 und 1.54 identifiziert. Eine war eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC, die andere eine Sicherheitslücke zur Remote-Daten-Exfiltration. Diese wurden in 1.53.1, 1.54.2 und späteren Releases behoben.

Im März haben unsere internen Teams bei der Durchführung routinemäßiger Fuzzing-Aktivitäten eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC entdeckt. Sie wurde in der gRPC-Version 1.52 gefunden und in den Releases 1.52.2 und 1.53 behoben.

Wie gehe ich am besten vor?

Stellen Sie sicher, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• Für die gRPC-Versionen 1.52, 1.53 und 1.54 (C++, Python, Ruby) muss ein Upgrade auf die folgenden Patchversionen durchgeführt werden:
• 1.52.2
• 1.53.1
• 1.54.2
• gRPC (C++, Python, Ruby) Version 1.51 und niedriger sind nicht betroffen, sodass Nutzer mit diesen Versionen nichts unternehmen können

Welche Sicherheitslücken werden mit diesen Patches behoben?

Diese Patches beheben die folgenden Sicherheitslücken:

• Releases von 1.53.1, 1.54.2 und höher beziehen sich auf folgende Sicherheitslücke: Denial-of-Service-Sicherheitslücke in der gRPC C++-Implementierung. Speziell entwickelte Anfragen können zur Beendigung der Verbindung zwischen einem Proxy und einem Back-End führen. Sicherheitslücke bei Remote-Daten-Exfiltration: Die Desynchronisierung in der HPACK-Tabelle aufgrund von Beschränkungen der Header-Größe kann dazu führen, dass Proxy-Back-Ends Header-Daten von anderen Clients weitergeben, die mit einem Proxy verbunden sind.
• Releases ab 1.52.2, 1.53 und höher beziehen sich auf die Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC. Das Parsen von spezifisch formulierten Anfragen kann zu einem Absturz eines Servers führen.

Wir empfehlen ein Upgrade auf die neueste Version der folgenden Softwarepakete, wie oben aufgeführt.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt. Ein Angreifer mit Zugriff auf die Treiberprotokolle konnte Dienstkontotokens erkennen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root auf dem Knoten führen kann.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

In Cloud SQL for SQL Server wurde kürzlich eine Sicherheitslücke entdeckt, die es Kundenadministratorkonten ermöglichte, Trigger in der Datenbank tempdb zu erstellen und diese zu verwenden, um sysadmin-Berechtigungen in der Instanz zu erlangen. Die Berechtigungen sysadmin gewähren dem Angreifer Zugriff auf Systemdatenbanken und teilweisen Zugriff auf die Maschine, auf der diese SQL Server-Instanz ausgeführt wird.

Google Cloud hat das Problem durch die Behebung der Sicherheitslücke zum Zeitpunkt des 1. März 2023 behoben. Google Cloud hat keine kompromittierten Kundeninstanzen gefunden.

Eine Anleitung und weitere Informationen finden Sie im Cloud SQL-Sicherheitsbulletin.

Update vom 06.06.2023:Neue GKE-Versionen wurden mit den neuesten Ubuntu-Versionen aktualisiert, die CVE-2023-1281 und CVE-2023-1829 gepatcht haben.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281 und CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf Root auf dem Knoten führen können.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

In Trusted Platform Module (TPM) 2.0 wurden zwei Sicherheitslücken (CVE-2023-1017 und CVE-2023-1018) entdeckt.

Die Sicherheitslücken hätten einem erfahrenen Angreifer ermöglicht, 2 Byte außerhalb des Lese-/Schreibbereichs auf bestimmten Compute Engine-VMs auszunutzen.

Eine Anleitung und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

• CVE-2023-1017
• CVE-2023-1018

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden zwei neue Sicherheitslücken entdeckt, CVE-2023-0240 und CVE-2023-23586. Diese Sicherheitslücken ermöglichen es nicht berechtigten Nutzern, ihre Rechte auszuweiten.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Die folgenden CVEs machen Anthos Service Mesh für ausnutzbare Sicherheitslücken sichtbar:

• CVE-2023-27496: Wenn Envoy bei der Ausführung mit aktiviertem OAuth-Filter ausgeführt wird, könnte ein böswilliger Akteur eine Anfrage erstellen, die durch einen Absturz von Envoy den Dienstverweigerung verursachen würde.
• CVE-2023-27488: Der Angreifer kann diese Sicherheitslücke nutzen, um Authentifizierungsprüfungen zu umgehen, wenn ext_authz verwendet wird.
• CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mit Eingaben aus der Anfrage generiert wurden, z. B. das Peer-Zertifikats-SAN.
• CVE-2023-27492: Angreifer können große Anfragetexte für Routen senden, bei denen der Lua-Filter aktiviert ist und Abstürze auslösen.
• CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um Parsing-Fehler im HTTP/1-Upstream-Dienst auszulösen.
• CVE-2023-27487: Der Header „x-envoy-original-path“ sollte ein interner Header sein. Envoy entfernt diesen Header jedoch nicht zu Beginn der Anfrageverarbeitung aus der Anfrage, wenn sie von einem nicht vertrauenswürdigen Client gesendet wird.

Eine Anleitung und weitere Informationen finden Sie im Sicherheitsbulletin für Anthos Service Mesh:

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 19. Januar 2023:Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) gefunden, die einen Absturz verursachen können.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Aktualisierung vom 19. Januar 2023:Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

Aktualisierung vom 16.12.2022:Patchversionen für GKE und GKE on VMware hinzugefügt.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die dazu führen können, dass ein vollständiger Container zum Ausbrechen von Root auf dem Knoten ausfällt.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-2585
• CVE-2022-2588

In Istio, das in Anthos Service Mesh verwendet wird, wurde eine Sicherheitslücke (CVE-2022-39278) entdeckt. Sie ermöglicht es einem böswilligen Angreifer, die Steuerungsebene abstürzen zu können.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 14.12.2022:Patchversionen für GKE und GKE on VMware hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-20409) entdeckt, die es unprivilegierten Nutzern ermöglicht, zu einer Systemausführungsberechtigung zu eskalieren.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 19. Januar 2023:Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

Aktualisierung vom 15. Dezember 2022:Die Informationen, dass die Einführung von Version 1.21.14-gke.9400 der Google Kubernetes Engine aussteht und die möglicherweise durch eine höhere Versionsnummer ersetzt werden kann, wurde aktualisiert.

Aktualisierung vom 22.11.2022:Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2022-3176, entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht es einem nicht privilegierten Nutzer, einen vollständigen Container-Ausbruch zu erreichen, um auf dem Knoten zu rooten.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Die Istio-Steuerungsebene istiod ist anfällig für Anfrageverarbeitungsfehler. Dadurch kann ein böswilliger Angreifer, der eine speziell erstellte Nachricht sendet, die Steuerungsebene abstürzen, wenn der prüfende Webhook für einen Cluster öffentlich verfügbar gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Eine Sicherheitslücke beim Parsen und der Speicherverwaltung in den C++- und Python-Implementierungen von ProtocolBuffer kann bei der Verarbeitung einer speziell erstellten Nachricht einen OOM-Fehler (Out-of-Memory) verursachen. Dies kann bei Diensten, die die Bibliotheken verwenden, zu einem DoS-Angriff (Denial of Service) führen.

Wie gehe ich am besten vor?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
• protobuf-Python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

Eine speziell erstellte kleine Nachricht, die bewirkt, dass der laufende Dienst große Mengen an RAM zuweist. Aufgrund der geringen Größe der Anfrage ist es einfach, die Sicherheitslücke auszunutzen und die Ressourcen auszuschöpfen. C++- und Python-Systeme, die nicht vertrauenswürdige Protokollpuffer verwenden, sind anfällig für DoS-Angriffe, wenn sie ein MessageSet-Objekt in ihrer RPC-Anfrage enthalten.

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 14. September 2022:Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Update vom 22.11.2022:Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen.

Aktualisierung vom 21. Juli 2022:Weitere Informationen zu GKE on VMware.

Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Update vom 22.11.2022:Autopilot-Cluster sind von CVE-2022-29581 nicht betroffen, aber anfällig für CVE-2022-29582 und CVE-2022-1116.

Im Linux-Kernel wurden drei neue Sicherheitslücken gefunden (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Diese Sicherheitslücken ermöglichen es einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Ausbruch auf dem Knoten durchzuführen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

Aktualisierung vom 10. Juni 2022:Die Anthos Service Mesh-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Folgende Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio on GKE für remote Angriffe verwundbar:

• CVE-2022-31045: Die Istio-Datenebene kann möglicherweise unsicher auf Arbeitsspeicher zugreifen, wenn die Erweiterungen „Metadata Exchange“ und „Stats“ aktiviert sind.
• CVE-2022-29225: Daten können die dazwischenliegenden Pufferlimits überschreiten, wenn ein böswilliger Angreifer eine kleine, stark komprimierte Nutzlast übergibt (Zip-Bomb-Angriff).
• CVE-2021-29224: Potenzielle Null-Pointer-Dereferenz in GRPCHealthCheckerImpl.
• CVE-2021-29226: Der OAuth-Filter ermöglicht eine einfache Umgehung.
• CVE-2022-29228: Ein OAuth-Filter kann den Arbeitsspeicher beschädigen (ältere Versionen) oder eine ASSERT() auslösen (spätere Versionen).
• CVE-2022-29227: Absturz interner Weiterleitungen bei Anfragen mit Text oder Trailern.

Eine Anleitung und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

Update vom 22.11.2022:GKE Autopilot-Cluster und Arbeitslasten, die in GKE Sandbox ausgeführt werden, sind nicht betroffen.

Aktualisierung vom 12. Mai 2022:Die Versionen von GKE on AWS und GKE on Azure wurden aktualisiert. Eine Anleitung und weitere Details finden Sie hier:

• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

---

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Update vom 22.11.2022:Bei GKE-Clustern in beiden Modi, Standard und Autopilot, sind Arbeitslasten, die GKE Sandbox verwenden, nicht betroffen.

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft die folgenden Produkte:

• GKE-Knotenpoolversionen 1.22 und höher, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher)
• GKE on VMware v1.10 für Container-Optimized OS-Images
• GKE on AWS v1.21 und GKE on AWS (vorherige Generation) v1.19, v1.20, v1.21, die Ubuntu verwenden
• Verwaltete Cluster von GKE on Azure v1.21, die Ubuntu verwenden

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 11.08.2022:Weitere Informationen zur Konfiguration von Simultaneous Multi-Threading (SMT) wurden hinzugefügt. SMT sollte eigentlich deaktiviert werden, war aber für die aufgeführten Versionen aktiviert.

Wenn Sie SMT für einen in einer Sandbox ausgeführten Knotenpool manuell aktiviert haben, bleibt SMT trotz dieses Problems manuell aktiviert.

Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Das folgende Istio-CVE macht Anthos Service Mesh für eine remote ausnutzbare Sicherheitslücke sichtbar:

• CVE-2022-24726: Die Istio-Steuerungsebene "istiod" ist anfällig für Anfrageverarbeitungsfehler. Dadurch kann ein böswilliger Angreifer eine speziell erstellte Nachricht senden. Dies führt zum Absturz der Steuerungsebene, wenn der prüfende Webhook für einen Cluster öffentlich verfügbar gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert aber keine Authentifizierung durch den Angreifer.

Eine Anleitung und weitere Informationen finden Sie im folgenden Sicherheitsbulletin:

• Anthos Service Mesh-Sicherheitsbulletin.

• CVE-2022-24726

Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden.

Eine Anleitung und weitere Informationen finden Sie im GKE-Sicherheitsbulletin

Aktualisierung vom 28. April 2022 : Es wurden Versionen von GKE on VMware hinzugefügt, die diese Sicherheitslücken beheben. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

• CVE-2022-23606: Wenn ein Cluster über den Cluster Discovery Service (CDS) gelöscht wird, werden alle inaktiven Verbindungen zu Endpunkten in diesem Cluster getrennt. In Envoy-Version 1.19 wurde fälschlicherweise eine Rekursion eingeführt, mit der das Trennen inaktiver Verbindungen zu einer Überlastung des Stacks und einer abnormalen Prozessbeendigung führen kann, wenn ein Cluster eine große Anzahl inaktiver Verbindungen hat.
• CVE-2022-21655: Der interne Weiterleitungscode von Envoy geht davon aus, dass ein Routeneintrag vorhanden ist. Wenn eine interne Weiterleitung an eine Route erfolgt, die einen Direct-Response-Eintrag und keinen Routeneintrag hat, führt dies zur Deduktion eines Nullzeigers und Absturz.
• CVE-2021-43826: Wenn Envoy für die Verwendung von tcp_proxy konfiguriert ist, das Upstream-Tunneling (über HTTP) und Downstream-TLS-Terminierung verwendet, stürzt Envoy ab, wenn der Downstream-Client während des TLS-Handshakes die Verbindung trennt, während der Upstream-HTTP-Stream noch eingerichtet wird. Die Downstream-Verbindung kann entweder vom Client oder vom Server initiiert werden. Die Verbindung des Clients kann aus beliebigen Gründen getrennt werden. Der Server kann die Verbindung beispielsweise trennen, wenn er keine TLS-Chiffren oder TLS-Protokollversionen hat, die mit dem Client kompatibel sind. Es ist möglich, dass dieser Absturz auch in anderen Downstream-Konfigurationen ausgelöst wird.
• CVE-2021-43825: Durch das Senden einer lokal generierten Antwort muss die weitere Verarbeitung von Anfrage- oder Antwortdaten beendet werden. Envoy verfolgt die Menge der zwischengespeicherten Anfrage- und Antwortdaten und bricht die Anfrage ab, wenn die Menge der zwischengespeicherten Daten das Limit überschreitet. Dazu werden 413 oder 500 Antworten gesendet. Wenn jedoch eine lokal generierte Antwort aufgrund eines internen Pufferüberlaufs gesendet wird, während die Antwort durch die Filterkette verarbeitet wird, wird der Vorgang möglicherweise nicht korrekt abgebrochen und führt zum Zugriff auf einen freigegebenen Speicherblock.
• CVE-2021-43824: Envoy stürzt ab, wenn der JWT-Filter mit einer Übereinstimmungsregel „safe_regex“ und einer speziell erstellten Anfrage wie „CONNECT host:port HTTP/1.1“ verwendet wird. Beim Erreichen des JWT-Filters sollte eine „safe_regex“-Regel den URL-Pfad auswerten, aber hier ist keiner vorhanden und Envoy stürzt mit Segmentfehlern ab.
• CVE-2022-21654: Envoy hat die Wiederaufnahme der TLS-Sitzung fälschlicherweise zugelassen, nachdem die Einstellungen für die mTLS-Validierung neu konfiguriert wurden. Wenn ein Clientzertifikat in der alten Konfiguration zulässig, in der neuen Konfiguration jedoch nicht zugelassen war, kann der Client die vorherige TLS-Sitzung fortsetzen, obwohl die aktuelle Konfiguration dies nicht zulassen sollte. Änderungen an den folgenden Einstellungen sind davon betroffen:
  • match_subject_alt_names
  • Änderungen der Zertifikatssperrlisten
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657: Envoy beschränkt den Satz von Zertifikaten, den es vom Peer akzeptiert, weder als TLS-Client noch als TLS-Server, auf Zertifikate, die den erforderlichen erweitertenKeyUsage (id-kp-serverAuth bzw. id-kp-clientAuth) enthalten. Das bedeutet, dass ein Peer ein E-Mail-Zertifikat (z.B. id-kp-emailProtection) entweder als untergeordnetes Zertifikat oder als Zertifizierungsstelle in der Kette präsentieren kann und es für TLS akzeptiert wird. Dies ist in Kombination mit CVE-2022-21656 besonders schlecht, da eine Web-PKI-Zertifizierungsstelle, die nur für die Verwendung mit S/MIME vorgesehen und daher von Audit oder Überwachung ausgenommen ist, TLS-Zertifikate ausstellen kann, die von Envoy akzeptiert werden.
• CVE-2022-21656: Die Validator-Implementierung zum Implementieren der Standardroutinen zur Zertifikatsprüfung weist bei der Verarbeitung von "subjectAltNames" einen Fehler bezüglich des Typs „Verwirrung“ auf. Dadurch kann beispielsweise ein rfc822Name oder uniformResourceIndicator als Domainname authentifiziert werden. Durch diese Verwirrung können nameConstraints umgangen werden, die von der zugrunde liegenden OpenSSL/BoringSSL-Implementierung verarbeitet werden, wodurch die Möglichkeit besteht, die Identität beliebiger Server zu stehlen.

• Anthos Service Mesh-Sicherheitsbulletin

• Sicherheitsbulletin für Istio in GKE

• GKE
• GKE auf VMware
• Google Distributed Cloud Virtual for Bare Metal

Die folgenden CVEs von Envoy und Istio machen Anthos Service Mesh und Istio on GKE für Sicherheitslücken zugänglich, die remote ausgenutzt werden können:

• CVE-2022-23635: Istiod stürzt beim Empfang von Anfragen mit einem speziell entwickelten authorization-Header ab.
• CVE-2021-43824: potenzielle Nullzeiger-Dereferenzierung bei Verwendung des JWT-Filters safe_regex
• CVE-2021-43825: Use-after-free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die nachgelagerten Zwischenspeicherlimits überschreiten.
• CVE-2021-43826: Use-after-free beim Tunneling von TCP über HTTP, wenn der Downstream während des Upstream-Verbindungsaufbaus unterbrochen wird.
• CVE-2022-21654: Falsche Konfigurationsbehandlung ermöglicht die Wiederverwendung von mTLS-Sitzungen ohne erneute Validierung, nachdem die Validierungseinstellungen geändert wurden.
• CVE-2022-21655: Falsche Verarbeitung interner Weiterleitungen zu Routen mit einem Direct-Response-Eintrag.
• CVE-2022-23606: Stackausschöpfung, wenn ein Cluster über den Cluster Discovery Service gelöscht wird.

Eine Anleitung und weitere Informationen finden Sie in den folgenden Sicherheitsbulletins:

• Anthos Service Mesh-Sicherheitsbulletin.
• Istio on GKE-Sicherheitsbulletin.

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

Aktualisierung vom 16. Mai 2022:Die GKE-Version 1.19.16-gke.7800 oder höher wurde der Liste der Versionen mit Code zum Beheben dieser Sicherheitslücke hinzugefügt. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Aktualisierung vom 12. Mai 2022:Die Versionen GKE, GKE on VMware, GKE on AWS und GKE on Azure wurden aktualisiert. Eine Anleitung und weitere Details finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

Aktualisierung vom 25. Februar 2022:Die GKE-Versionen wurden aktualisiert. Eine Anleitung und weitere Details finden Sie hier:

• GKE-Sicherheitsbulletin

Aktualisierung vom 23. Februar 2022 : Die Versionen von GKE und GKE on VMware wurden aktualisiert. Eine Anleitung und weitere Details finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin

Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar.

Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE on Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den Versionshinweisen zu COS.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Beim Parsen von Binärdaten wurde ein potenzielles Denial of Service-Problem in protobuf-java erkannt.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [JRuby-Gem] (3.19.2)

Protobuf-Nutzer, die Javalite (normalerweise Android) verwenden, sind nicht betroffen.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

Eine Schwäche bei der Implementierung beim Parsen unbekannter Felder in Java. Eine kleine schädliche Nutzlast (ca. 800 KB) kann den Parser mehrere Minuten lang belasten, indem eine große Anzahl kurzlebiger Objekte erstellt wird, die häufige, wiederholte Pausen bei der automatischen Speicherbereinigung verursachen.

Im Kubernetes-Controller ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Es gibt ein bekanntes Problem, das Auftritt, wenn eine BackendConfig-Ressource mithilfe der v1beta1 API aktualisiert wird, was dazu führen kann, dass eine aktive Google Cloud Armor-Sicherheitsrichtlinie aus ihrem Dienst entfernt wird.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Im GKE Enterprise Identity Service (AIS)-LDAP-Modul von GKE in den VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke erkannt, bei der ein Startschlüssel, der zum Generieren von Schlüsseln verwendet wird, vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren.

Eine Anleitung und weitere Informationen finden Sie im Sicherheitsbulletin für GKE on VMware.

In Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Gemäß dem VMware-Sicherheitshinweis VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß dem VMware-Sicherheitshinweis auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Bestimmte Google Cloud-Load-Balancer, die Weiterleitungen an einen für das Identity-Aware Proxy (IAP) aktivierten Backend-Dienst vornehmen, können unter bestimmten Bedingungen von einer nicht vertrauenswürdige Partei missbraucht werden. Damit wurde ein über das Prämienprogramm für die Meldung von Sicherheitslücken gemeldetes Problem behoben.

• HTTP(S)-Load-Balancer waren und
• ein Standard-Backend oder ein Backend mit einer Platzhalter-Hostzuordnungsregel (d. h. host="*") nutzten

Darüber hinaus musste ein Nutzer in Ihrer Organisation auf einen speziell erstellten Link geklickt haben, der von einer nicht vertrauenswürdigen Partei gesendet wurde.

Dieses Problem wurde behoben. IAP wurde am 17. September 2021 so aktualisiert, dass Cookies nur noch für autorisierte Hosts ausgegeben werden. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load-Balancern installiert sind.

Was muss ich tun?

Einigen Ihrer Nutzer:innen wird möglicherweise beim Versuch, auf Anwendungen oder Dienste zuzugreifen, die Antwort „HTTP 401 – Unauthorized“ mit dem IAP-Fehlercode 52 angezeigt. Dieser Fehlercode bedeutet, dass der Client einen Host-Header gesendet hat, der nicht mit einem der Subject-Alternative-Namen übereinstimmt, die mit den SSL-Zertifikaten des Load-Balancers verknüpft sind. Load-Balancer-Administratoren müssen das SSL-Zertifikat aktualisieren, damit die SAN (Subject Alternative Name)-Liste alle Hostnamen enthält, über die Nutzer auf IAP-geschützte Anwendungen oder Dienste zugreifen. Hier finden Sie weitere Informationen zu IAP-Fehlercodes.

Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 23. 09. 2021: Container, die in der GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke für Angriffe aus dem Container nicht betroffen.

Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin.
• GKE on AWS-Sicherheitsbulletin.

Folgende Envoy- und Istio-CVEs machen Anthos Service Mesh und Istio on GKE für remote Angriffe verwundbar:

• CVE-2021-39156: HTTP-Anfragen mit einem Fragment (einem Abschnitt am Ende eines URI, der mit einem #-Zeichen beginnt) im URI-Pfad können die pfadbasierten Autorisierungsrichtlinien von Istio umgehen.
• CVE-2021-39155: HTTP-Anfragen können möglicherweise eine Istio-Autorisierungsrichtlinie umgehen, wenn Sie Regeln auf Grundlage von hosts oder notHosts verwenden.
• CVE-2021-32781: Wirkt sich auf die Envoy-Erweiterungen decompressor, json-transcoder oder grpc-web oder auf proprietäre Erweiterungen aus, die die Anfrage- oder Antworttexte ändern und vergrößern. Das Ändern und Erhöhen der Textgröße in der Envoy-Erweiterung über die interne Puffergröße hinaus kann dazu führen, dass Envoy auf den freigegebenen Speicher zugreift und anormal beendet wird.
• CVE-2021-32780: Ein nicht vertrauenswürdiger Upstream-Dienst kann dazu führen, dass Envoy ungewöhnlich beendet wird, indem der GOAWAY-Frame gefolgt vom SETTINGS-Frame gesendet wird, wobei der Parameter SETTINGS_MAX_CONCURRENT_STREAMS auf 0 gesetzt ist. (Nicht anwendbar auf Istio on GKE)
• CVE-2021-32778: Ein Envoy-Client, der eine große Anzahl von HTTP/2-Anfragen öffnet und dann zurückgesetzt, kann zu einem übermäßigen CPU-Verbrauch führen. (Nicht anwendbar auf Istio on GKE)
• CVE-2021-32777: HTTP-Anfragen mit mehreren Wert-Headern können bei Verwendung der ext_authz-Erweiterung eine unvollständige Prüfung der Autorisierungsrichtlinie bedingen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Anthos Service Mesh-Sicherheitsbulletin.
• Istio on GKE-Sicherheitsbulletin.

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell eine Container-Aufschlüsselung zum Root auf dem Host verursachen kann. Diese Sicherheitslücke betrifft alle GKE-Cluster und GKE on VMware, auf denen Linux-Version 2.6.19 oder höher ausgeführt wird.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin.
• GKE on VMware-Sicherheitsbulletin.

Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Das Istio-Projekt hat vor Kurzem eine Sicherheitslücke gemeldet, über die auf in den Feldern "Gateway" und "DestinationRule credentialName" angegebenen Anmeldedaten von verschiedenen Namespaces aus zugegriffen werden kann.

Produktspezifische Anleitungen und weitere Informationen finden Sie unter:

• Anthos Service Mesh-Sicherheitsbulletin.
• GKE Enterprise-Sicherheitsbulletin GCP-2021-012 mit spezifischen Informationen für Google Kubernetes Engine, Google Distributed Cloud Virtual for Bare Metal und GKE on VMware.

Aktualisierung 19.10.2021:

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Gemäß VMware-Sicherheitshinweis VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches gemäß dem VMware-Sicherheitshinweis für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen, die in Ihrer privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Patches hinweisen. Sie können sich darauf verlassen, dass entsprechende Patches installiert und Ihre Umgebung vor diesen Sicherheitslücken geschützt wird.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Wie gehe ich am besten vor?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Istio enthält eine remote ausnutzbare Sicherheitslücke, über die ein externer Client auf unerwartete Dienste im Cluster zugreifen kann, um Autorisierungsprüfungen zu umgehen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist.

Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Hoch

Istio enthält eine remote ausnutzbare Sicherheitslücke, über die ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder maskierten Schrägstrichen (%2F oder %5C) eine Istio-Autorisierungsrichtlinie umgehen könnte, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Anleitungen und weitere Informationen finden Sie im Anthos Service Mesh-Sicherheitsbulletin.

Hoch

Im Istio-Projekt wurde vor Kurzem eine neue Sicherheitslücke (CVE-2021-31920) disclosed, die Istio betrifft.

Istio enthält eine remote ausnutzbare Sicherheitslücke, über die eine HTTP-Anfrage mit mehreren Schrägstrichen oder maskierten Schrägstrichen die Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin

Hoch

Eine gemeldete Sicherheitslücke hat gezeigt, dass Envoy die maskierten Schrägstrich-Sequenzen %2F und %5C in HTTP-URL-Pfaden in den Envoy-Versionen bis 1.18.2 nicht decodiert. Darüber hinaus aktivieren einige Envoy-basierte Produkte keine Steuerelemente zur Pfadnormalisierung. Ein Remote-Angreifer kann einen Pfad mit maskierten Schrägstrichen erstellen (z. B. /something%2F..%2Fadmin,), um die Zugriffssteuerung zu umgehen (z. B. einen Block auf /admin). Ein Backend-Server könnte dann die Schrägstrich-Sequenzen decodieren und den Pfad normalisieren, um Angreifern Zugriff über den durch die Zugriffssteuerungsrichtlinie zugelassenen Umfang hinaus zu ermöglichen.

Was soll ich tun?

Wenn Backend-Server / und %2F oder \ und %5C austauschbar behandeln und ein URL-Pfad-basierter Abgleich konfiguriert ist, empfehlen wir, den Backend-Server so neu zu konfigurieren, dass er \ und %2F oder \ und %5C nicht mehr austauschbar behandelt, wenn möglich.

Welche Verhaltensänderungen wurden eingeführt?

Die Optionen normalize_path und angrenzende Schrägstriche zusammenführen von Envoy wurden aktiviert, um andere gängige Sicherheitslücken im Zusammenhang mit der Verwechslung von Pfaden in Envoy-basierten Produkten zu beheben.

Hoch

Bei den Projekten Envoy und Istio wurden kürzlich mehrere neue Sicherheitslücken angekündigt (CVE-2021-28683, CVE-2021-28682 und CVE-2021-29258), die zum Absturz von Envoy führen könnten.

In Google Kubernetes Engine-Clustern wird Istio nicht standardmäßig ausgeführt und daher sind sie nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein.

Google Distributed Cloud Virtual for Bare Metal und GKE on VMware verwenden standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial-of-Service sind.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Mittel

• CVE-2021-28683
• CVE-2021-28682
• CVE-2021-29258

Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke ( CVE-2021-25735) bekanntgegeben. Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal

Mittel

CVE-2021-25735

Im VMware-Sicherheitshinweis VMSA-2021-0002 hat VMware Berichte über mehrere Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend dem VMware-Sicherheitshinweis bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Wie gehe ich am besten vor?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974

Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

Die zugrunde liegende Infrastruktur, auf der Compute Engine ausgeführt wird, ist von dieser Sicherheitslücke nicht betroffen.

Alle Cluster der Google Kubernetes Engine (GKE), GKE on VMware, GKE on AWS und Google Distributed Cloud Virtual for Bare Metal sind von dieser Sicherheitslücke nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin von Google Distributed Cloud Virtual for Bare Metal
• Compute Engine-Sicherheitsbulletin

Aktualisiert: 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.

gcloud container clusters update –no-enable-service-externalips

1. Ab GKE-Version 1.21 werden Dienste mit externen IP-Adressen durch einen DenyServiceExternalIPs-Admission-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
2. Kunden, die ein Upgrade auf die GKE-Version 1.21 durchführen, können Dienste mit ExternalIPs mit dem folgenden Befehl blockieren:

   
   gcloud container clusters update –no-enable-service-externalips
   

Weitere Informationen finden Sie unter Cluster härten.

Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

Alle Cluster der Google Kubernetes Engine (GKE), GKE on VMware und GKE on AWS sind von dieser Sicherheitslücke betroffen.

Wie gehe ich am besten vor?

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin

Mittel

Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

• CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
• CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
• CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
• CVE-2020-8566: Ceph RBD adminSecrets in Logs mit loglevel >= 4 offengelegt

Wie gehe ich am besten vor?

Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

Keine

• CVE-2020-8563
• CVE-2020-8564
• CVE-2020-8565
• CVE-2020-8566

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) ist nicht betroffen.

GKE On-Prem

GKE On-Prem ist nicht betroffen.

GKE on AWS

GKE on AWS ist nicht betroffen.

CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen.

NVD Base Score: 10 (Kritisch)

CVE-2020-1472

Compute Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten darauf achten, dass auf ihre Instanzen der neueste Windows-Patch aufgespielt wurde oder sie nach dem 17.08.2020 veröffentlichte Windows Server-Images nutzen (Version 20200813 oder höher).

Google Kubernetes Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die Domain-Controller in ihren GKE Windows Server-Knoten hosten, sollten sicherstellen, dass sowohl die Knoten als auch die Arbeitslasten in den Containern, die auf diesen Knoten ausgeführt werden, das neueste Windows-Knoten-Image haben, wenn es verfügbar ist. Eine neue Node-Image-Version wird im Oktober in den GKE-Versionshinweisen angekündigt.

Managed Service for Microsoft Active Directory

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Der von Microsoft veröffentlichte August-Patch, der Korrekturen an dem NetLogon-Protokoll enthält, wurde auf alle verwalteten Microsoft AD-Domaincontroller angewendet. Dieser Patch bietet Funktionen zum Schutz vor potenziellen Angriffen. Der rechtzeitige Einsatz von Patches ist einer der Hauptvorteile des Managed Service for Microsoft Active Directory. Kunden, die Microsoft Active Directory manuell ausführen (und nicht den verwalteten Google Cloud-Dienst verwenden) sollten darauf achten, dass ihre Instanzen den neuesten Windows-Patch aufgespielt haben oder Windows Server-Images verwenden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin.
• GKE auf VMware-Sicherheitsbulletin.
• Sicherheitsbulletin für GKE on AWS.

Hoch

CVE-2020-14386

Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin

Niedrig (GKE und GKE auf AWS),
Mittel (GKE on VMware)

CVE-2020-8558

CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden.

NVD Base Score: 10.0 (Kritisch)

CVE-2020-1350

Compute Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen verwenden, auf denen Windows Server in einer DNS-Serverkapazität ausgeführt wird, sollten darauf achten, dass ihre Instanzen über den neuesten Windows-Patch verfügen oder Windows Server-Images verwenden, die seit dem 14.07.2020 bereitgestellt werden.

Google Kubernetes Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten in einer DNS-Serverkapazität verwenden, müssen die Knoten und die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, manuell auf eine Windows-Serverversion aktualisieren, die die Fehlerbehebung beinhaltet.

Managed Service for Microsoft Active Directory

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 14. Juli 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin

Mittel

CVE-2020-8559

Beschreibung

VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin

Mittel

CVE-2020-8555

Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen.

Anleitungen und weitere Informationen finden Sie hier:

• GKE-Sicherheitsbulletin
• GKE auf VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin

Mittel

Kubernetes-Problem 91507

Im Linux-Kernel wurde kürzlich eine Sicherheitslücke entdeckt, die in CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten.

Ubuntu-Knoten der Google Kubernetes Engine (GKE) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen, so schnell wie möglich ein Upgrade auf die neueste Patchversion durchzuführen.

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Hoch

CVE-2020-8835

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft.

Mittel

CVE-2020-8551

CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2020-8552

CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.

NVD Base Score: 8,1 (hoch)

CVE-2020-0601

Compute Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Google Kubernetes Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerbasierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Managed Service for Microsoft Active Directory

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Functions

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS).

Mittel

CVE-2019-11135

CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt.

Mittel

CVE-2018-12207

Compute Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

N2-, C2- oder M2-Kunden, die auf virtuellen Maschinen von Compute Engine für ihre eigenen Dienste mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten ihre VMs beenden und wieder starten, um zu gewährleisten, dass die neuesten Sicherheitsmaßnahmen vorliegen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Google Kubernetes Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Wenn Sie Knotenpools mit N2-, M2- oder C2-Knoten verwenden und für diese Knoten in Ihren eigenen GKE-Clustern mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten Sie Ihre Knoten neu starten. Wenn Sie alle Knoten in Ihrem Knotenpool neu starten möchten, müssen Sie den betroffenen Knotenpool aktualisieren.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

App Engine-Standardumgebung

Es sind keine weiteren Maßnahmen erforderlich.

Flexible App Engine-Umgebung

CVE-2019-11135

Es sind keine weiteren Maßnahmen erforderlich.

Kunden sollten sich die Best Practices von Intel bezüglich der Freigabe auf Anwendungsebene durchlesen. Diese kann innerhalb einer Flex-VM zwischen Hyperthreads auftreten.

CVE-2018-12207

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Run

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Functions

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Composer

Es sind keine weiteren Maßnahmen erforderlich.

Dataflow

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Dataflow-Kunden, die mehrere von Dataflow verwaltete, nicht vertrauenswürdige Arbeitslasten auf N2-, C2- oder M2-VMs in Compute Engine ausführen und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten alle aktuell ausgeführten Streamingpipelines neu starten. Optional können Batchpipelines beendet und neu ausgeführt werden. Für Pipelines, die nach dem heutigen Datum gestartet werden, sind keine Maßnahmen erforderlich.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Dataproc

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud Dataproc-Kunden, die mehrere nicht vertrauenswürdige Arbeitslasten auf demselben Cloud Dataproc-Cluster ausführen, der auf N2-, C2- oder M2-VMs in Compute Engine ausgeführt wird, und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten ihre Cluster neu bereitstellen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud SQL

Es sind keine weiteren Maßnahmen erforderlich.