Bulletins de sécurité

Les mises à jour VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impact sur le service client

VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation).

Que dois-je faire ?

Les clients ne sont pas concernés, et aucune action n'est requise de leur part.

• CVE-2023-20893

Trois failles (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur autorisé à créer des pods sur des nœuds Windows pourra peut-être passer aux droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Intel a récemment annoncé le lancement de l'avis de sécurité Intel INTEL-SA-00828, qui concerne certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques sur la base de cet avis.

Impact sur Google Cloud VMware Engine

Notre parc utilise les familles de processeurs impactées. Dans notre déploiement, l'ensemble du serveur est dédié à un seul client. Notre modèle de déploiement n'ajoute donc aucun risque supplémentaire à votre évaluation de cette faille.

Nous collaborons avec nos partenaires pour obtenir les correctifs nécessaires. Au cours des prochaines semaines, nous les déploierons de manière prioritaire sur l'ensemble du parc en suivant le processus de mise à niveau standard.

Que dois-je faire ?

Aucune action n'est requise de votre part. Nous mettons tout en œuvre pour mettre à niveau tous les systèmes concernés.

• CVE-2022-40982

Mise à jour du 10/08/2023:ajout du numéro de version LTS de ChromeOS.

Intel a révélé une faille dans certains processeurs (CVE-2022-40982). Google a pris des mesures pour limiter les risques liés à son parc de serveurs, y compris Google Cloud, afin de s'assurer que les clients sont protégés.

Détails de la faille:

• CVE-2022-40982 (Intel IPU 2023.3, "GDS" ou "Downfall")

Que dois-je faire ?

Aucune action n'est requise de la part du client.

Tous les correctifs disponibles ont déjà été appliqués au parc de serveurs Google pour Google Cloud, y compris Google Compute Engine.

À l'heure actuelle, les produits suivants nécessitent des mises à jour supplémentaires de la part de partenaires et de fournisseurs.

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Solution Bare Metal de Google Cloud
• Evolved Packet Core

Google corrigera ces produits une fois les correctifs disponibles. Ce bulletin sera mis à jour en conséquence.

Les clients Google Chromebook et ChromeOS Flex ont automatiquement reçu les protections fournies par Intel dans les versions stable (115), LTS (108), bêta (116) et LTC (114). Les clients Chromebook et ChromeOS Flex qui disposent d'une version plus ancienne doivent envisager d'annuler l'épinglage et de passer aux versions stables ou LTS pour s'assurer qu'ils bénéficient de cette correction et d'autres corrections de failles.

Quelles failles sont traitées ?

CVE-2022-40982 - Pour en savoir plus, consultez l'avis de sécurité Intel INTEL-SA-00828.

AMD a révélé une faille dans certains processeurs (CVE-2023-20569). Google a pris des mesures pour limiter les risques liés à son parc de serveurs, y compris Google Cloud, afin de s'assurer que les clients sont protégés.

Détails de la faille:

• CVE-2023-20569 (AMD SB-7005, également appelé "Inception")

Que dois-je faire ?

Les utilisateurs de VM Compute Engine doivent envisager les mesures d'atténuation fournies par le système d'exploitation s'ils utilisent l'exécution de code non approuvé au sein d'une instance. Nous recommandons aux clients de contacter les fournisseurs de leur système d'exploitation pour obtenir des conseils plus spécifiques.

Des correctifs ont déjà été appliqués au parc de serveurs Google pour Google Cloud, y compris Google Compute Engine.

Quelles failles sont traitées ?

CVE-2023-20569 : pour en savoir plus, consultez la page AMD SB-7005.

Google a identifié une faille dans les implémentations de gRPC C++ antérieures à la version 1.57. Il s'agissait d'une faille de déni de service dans l'implémentation C++ de gRPC. Ces problèmes ont été corrigés dans les versions 1.53.2, 1.54.3, 1.55.2, 1.56.2 et 1.57.

Que dois-je faire ?

Assurez-vous d'utiliser les versions les plus récentes des packages logiciels suivants:

• Les versions 1.53, 1.54, 1.55 et 1.56 de gRPC (C++, Python, Ruby) doivent être mises à niveau vers les versions de correctif suivantes:
• 1,53,2
• 1,54,3
• 1,55,2
• 1.56.2
• Les versions 1.52 et antérieures de gRPC (C++, Python, Ruby) doivent être mises à niveau vers l'une des versions de correctif approuvées. Exemples : 1.53.2, 1.54.3, 1.53.4, etc.

Quelles failles sont traitées ?

Ces correctifs réduisent les risques liés aux failles suivantes:

• Failles de déni de service dans les implémentations gRPC C++: des requêtes spécialement conçues peuvent entraîner l'arrêt de la connexion entre un proxy et un backend.

Les failles CVE suivantes exposent Anthos Service Mesh à des failles exploitables:

• CVE-2023-35941: un client malveillant peut créer des identifiants avec une validité permanente dans certains scénarios spécifiques. Par exemple, la combinaison de l'hôte et de l'heure d'expiration dans la charge utile HMAC peut toujours être valide dans la vérification HMAC du filtre OAuth2.
• CVE-2023-35942: les enregistreurs d'accès gRPC utilisant le champ d'application global de l'écouteur peuvent entraîner un plantage de type "use-after-free" lorsque l'écouteur est drainé. Cela peut être déclenché par une mise à jour LDS avec la même configuration de journal d'accès gRPC.
• CVE-2023-35943: si l'en-tête origin est configuré pour être supprimé avec request_headers_to_remove: origin, le filtre CORS segfault et fait planter Envoy.
• CVE-2023-35944: les pirates informatiques peuvent envoyer des requêtes à schéma mixte pour contourner les vérifications de schéma dans Envoy. Par exemple, si une requête avec un schéma HTTP à schéma mixte est envoyée au filtre OAuth2, les vérifications de correspondance exacte pour HTTP échouent, et le point de terminaison distant indique au point de terminaison que le schéma est HTTPS, ce qui peut potentiellement contourner les vérifications OAuth2 spécifiques aux requêtes HTTP.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Anthos Service Mesh.

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD a publié une mise à jour de microcode qui corrige une faille de sécurité matérielle (CVE-2023-20593). Google a appliqué les correctifs nécessaires pour corriger cette faille au niveau de son parc de serveurs, y compris pour Google Cloud Platform. Les tests montrent que cela n'a aucun impact sur les performances des systèmes.

Que dois-je faire ?

Aucune action n'est requise de la part du client, car des correctifs ont déjà été appliqués au parc de serveurs Google pour Google Cloud Platform.

Quelles failles sont traitées ?

CVE-2023-20593 corrige une faille dans certains processeurs AMD. Pour en savoir plus, cliquez ici.

Une nouvelle faille (CVE-2023-35945) a été découverte dans Envoy. Celle-ci peut entraîner un déni de service en raison de l'épuisement de la mémoire lorsqu'une réponse spécialement conçue à partir d'un service en amont non approuvé peut entraîner un déni de service. Cela est dû au codec HTTP/2 d'Envoy, qui peut entraîner la fuite d'une carte d'en-tête et de structures de comptabilité lors de la réception de RST_STREAM immédiatement suivie par les trames GOAWAY d'un serveur en amont.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Anthos Service Mesh.

Une nouvelle faille (CVE-2023-2235) a été détectée dans le noyau Linux. Elle peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE Autopilot sont affectés, car les nœuds GKE Autopilot utilisent toujours des images de nœuds Container-Optimized OS. Les clusters GKE Standard versions 1.25 ou ultérieures qui exécutent des images de nœuds Container-Optimized OS sont affectés.

Les clusters GKE ne sont pas affectés s'ils n'exécutent que des images de nœuds Ubuntu, s'ils exécutent des versions antérieures à la version 1.25 ou s'ils utilisent GKE Sandbox.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Mise à jour du 11/07/2023:les nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent CVE-2023-31436.

Une nouvelle faille (CVE-2023-31436) a été détectée dans le noyau Linux. Elle peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont affectés. Les clusters GKE utilisant GKE Sandbox ne sont pas concernés.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Un certain nombre de failles ont été découvertes dans Envoy, qui est utilisé dans Anthos Service Mesh, et permet à un pirate informatique malveillant de provoquer un déni de service ou le plantage d'Envoy. Ils ont été indiqués séparément sous la forme GCP-2023-002.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Une nouvelle faille, CVE-2023-0468, a été découverte dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'augmenter ses privilèges à la racine lorsque io_poll_get_ownership continuera d'augmenter req->poll_refs à chaque io_poll_wake, puis dépassera 0, ce qui entraînera un double du transfert du fichier req->file et entraînera un problème de renvoi de fichier de recomptage. Les clusters GKE, y compris les clusters Autopilot, dotés de Container-Optimized OS utilisant la version 5.15 du noyau Linux sont affectés. Les clusters GKE utilisant des images Ubuntu ou GKE Sandbox ne sont pas affectés.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Mise à jour du 11/08/2023 : ajout de versions de correctif pour les clusters Anthos sur VMware, les clusters Anthos sur AWS, Anthos on Azure et Anthos sur bare metal.

Deux nouveaux problèmes de sécurité ont été détectés dans Kubernetes : les utilisateurs peuvent lancer des conteneurs qui contournent les restrictions de stratégie lorsqu'ils utilisent des conteneurs éphémères et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728).

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Lorsque vous activez l'API Cloud Build dans un projet, Cloud Build crée automatiquement un compte de service par défaut pour exécuter des compilations en votre nom. Ce compte de service Cloud Build disposait précédemment de l'autorisation IAM logging.privateLogEntries.list, qui permettait aux builds d'accéder à la liste des journaux privés par défaut. Cette autorisation a été révoquée pour le compte de service Cloud Build afin de respecter le principe de sécurité du moindre privilège.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Cloud Build.

Google a identifié trois nouvelles failles dans l'implémentation de gRPC C++. Elles seront bientôt publiées publiquement sous les noms CVE-2023-1428, CVE-2023-32731 et CVE-2023-32732.

En avril, nous avons identifié deux failles dans les versions 1.53 et 1.54. La première était une faille de déni de service dans l'implémentation C++ du gRPC, et l'autre était une faille d'exfiltration de données à distance. Ces problèmes ont été corrigés dans les versions 1.53.1, 1.54.2 et ultérieures.

En mars dernier, nos équipes internes ont découvert une faille de déni de service dans l'implémentation C++ de gRPC lors de l'exécution d'activités de test de routine. Il a été détecté dans la version 1.52 de gRPC et a été corrigé dans les versions 1.52.2 et 1.53.

Que dois-je faire ?

Assurez-vous d'utiliser les versions les plus récentes des packages logiciels suivants:

• grpc (C++, Python, Ruby) version 1.52, 1.53 et 1.54 doit être mis à niveau vers les versions de correctif suivantes :
• 1,52,2
• 1.53,1
• 1,54,2
• Les versions 1.51 et antérieures de grpc (C++, Python, Ruby) ne sont pas concernées. Les utilisateurs disposant de ces versions ne peuvent donc effectuer aucune action.

Quelles failles ces correctifs permettent-ils de résoudre ?

Ces correctifs réduisent les risques liés aux failles suivantes:

• Les versions 1.53.1, 1.54.2 et ultérieures corrigent les problèmes suivants: faille de déni de service dans l'implémentation de gRPC C++. Des requêtes spécialement conçues peuvent entraîner l'interruption de la connexion entre un proxy et un backend. Vulnérabilité d'exfiltration de données à distance: la désynchronisation dans la table HPACK due à des limites de taille d'en-tête peut entraîner la fuite des données d'en-tête des backends de proxy provenant d'autres clients connectés à un proxy.
• Les versions 1.52.2, 1.53 et ultérieures corrigent les problèmes suivants: faille de déni de service dans l'implémentation C++ de gRPC. L'analyse de certaines requêtes spécialement formées peut entraîner un plantage et affecter le serveur.

Nous vous recommandons de passer aux dernières versions des packages logiciels suivants, comme indiqué ci-dessus.

Une nouvelle faille (CVE-2023-2878) a été détectée dans secrets-store-csi-driver. Elle permet à un acteur ayant accès aux journaux de pilotes d'observer des jetons de compte de service.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Une nouvelle faille (CVE-2023-1872) a été détectée dans le noyau Linux. Elle peut entraîner une élévation des privilèges vers la racine du nœud.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Une faille a récemment été découverte dans Cloud SQL pour SQL Server. Elle a permis à des comptes administrateur client de créer des déclencheurs dans la base de données tempdb et de les utiliser pour obtenir les droits sysadmin sur l'instance. Les droits sysadmin donnent au pirate informatique l'accès aux bases de données système et un accès partiel à la machine exécutant cette instance SQL Server.

Google Cloud a résolu le problème en corrigeant la faille de sécurité avant le 1er mars 2023. Google Cloud n'a trouvé aucune instance client compromise.

Pour obtenir des instructions et en savoir plus, consultez le bulletin de sécurité Cloud SQL.

Mise à jour du 06/06/2023:les nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent CVE-2023-1281 et CVE-2023-1829.

Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux. Elles peuvent entraîner une élévation des privilèges vers la racine du nœud.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Deux failles (CVE-2023-1017 et CVE-2023-1018) ont été découvertes dans le TPM (Trusted Platform Module) 2.0.

Ces failles auraient pu permettre à un pirate informatique sophistiqué d'exploiter une lecture/écriture hors limites de 2 octets sur certaines VM Compute Engine.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de Compute Engine.

• CVE-2023-1017
• CVE-2023-1018

Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'augmenter ses privilèges.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Les failles CVE suivantes exposent Anthos Service Mesh à des failles exploitables:

• CVE-2023-27496: si Envoy s'exécute avec le filtre OAuth activé, un acteur malveillant peut émettre une requête qui entraînerait un déni de service en faisant planter Envoy.
• CVE-2023-27488: le pirate informatique peut utiliser cette faille pour contourner les vérifications d'authentification lorsque ext_authz est utilisé.
• CVE-2023-27493: la configuration Envoy doit également inclure une option permettant d'ajouter des en-têtes de requête générés à l'aide des entrées de la requête, telles que le SAN du certificat de pairs.
• CVE-2023-27492: les pirates informatiques peuvent envoyer des corps de requêtes volumineux pour des routes sur lesquelles le filtre Lua est activé et déclencher des plantages.
• CVE-2023-27491: les pirates informatiques peuvent envoyer des requêtes HTTP/2 ou HTTP/3 spécialement conçues pour déclencher des erreurs d'analyse sur le service HTTP/1 en amont.
• CVE-2023-27487: l'en-tête "x-envoy-original-path" doit être un en-tête interne, mais Envoy ne le supprime pas de la requête au début du traitement de la requête lorsqu'elle est envoyée par un client non approuvé.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Anthos Service Mesh.

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

Une nouvelle faille (CVE-2022-4696) a été détectée dans le noyau Linux. Elle peut entraîner une élévation des privilèges sur le nœud.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6. Elles peuvent entraîner un plantage.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Mise à jour du 19/01/2023:ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible.

Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6. Elles peuvent entraîner un plantage.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Mise à jour du 19/01/2023:ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible.

Mise à jour du 16/12/2022:ajout de versions de correctif pour GKE et Clusters Anthos sur VMware.

Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner une rupture complète du conteneur en racine sur le nœud.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

• CVE-2022-2585
• CVE-2022-2588

Une faille de sécurité, CVE-2022-39278, a été détectée dans Istio, qui est utilisé dans Anthos Service Mesh. Elle permet à un pirate informatique malveillant de faire planter le plan de contrôle.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Mise à jour du 14/12/2022:ajout de versions de correctif pour GKE et Clusters Anthos sur VMware.

Une nouvelle faille, CVE-2022-20409, a été détectée dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'obtenir un droit d'exécution système.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Mise à jour du 19/01/2023:ajout d'informations indiquant que la version 1.21.14-gke.14100 de GKE est disponible.

Mise à jour du 15/12/2022:mise à jour des informations indiquant que la version 1.21.14-gke.9400 de Google Kubernetes Engine est en attente de déploiement et peut être remplacée par un numéro de version plus élevé.

Mise à jour du 22/11/2022:ajout de versions de correctif pour les clusters Anthos sur VMware, les clusters Anthos sur AWS et Anthos on Azure.

Une nouvelle faille, CVE-2022-3176, a été détectée dans le noyau Linux. Elle peut entraîner une élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'obtenir une sortie complète du conteneur pour qu'il soit en mode root sur le nœud.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Le plan de contrôle Istio istiod est vulnérable aux erreurs de traitement des requêtes, ce qui permet à un pirate informatique malveillant d'envoyer un message spécialement conçu, ce qui entraîne le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est diffusé sur le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate informatique.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh.

Une faille liée à l'analyse des messages et à la gestion de la mémoire dans les implémentations C++ et Python de ProtocolBuffer peut déclencher une défaillance de la mémoire insuffisante lors du traitement d'un message spécialement conçu. Cela peut entraîner un déni de service (DoS) sur les services qui utilisent ces bibliothèques.

Que dois-je faire ?

Assurez-vous d'utiliser les versions les plus récentes des packages logiciels suivants:

• protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
• protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Quelles failles ce correctif permet-il de résoudre ?

Ce correctif réduit les risques liés à la faille suivante :

Petit message spécialement construit qui oblige le service en cours d'exécution à allouer de grandes quantités de RAM. Étant donné la petite taille de la requête, il est facile d'exploiter la faille et d'épuiser les ressources. Les systèmes C++ et Python qui consomment des tampons de protocole non approuvés sont vulnérables aux attaques DoS s'ils contiennent un objet MessageSet dans leur requête RPC.

Mise à jour du 14/09/2022:ajout de versions de correctif pour les clusters Anthos sur VMware, les clusters Anthos sur AWS et Anthos on Azure.

Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Mise à jour du 22/11/2022:ces failles ne s'appliquent pas aux charges de travail utilisant GKE Sandbox.

Mise à jour du 21/07/2022:informations supplémentaires sur Clusters Anthos sur VMware.

Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Seuls les clusters qui exécutent Container-Optimized OS sont affectés. Les versions d'Ubuntu GKE utilisent la version 5.4 ou 5.15 du noyau et ne sont pas affectées.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Mise à jour du 22/11/2022:les clusters Autopilot ne sont pas affectés par la faille CVE-2022-29581, mais sont vulnérables aux attaques CVE-2022-29582 et CVE-2022-1116.

Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été détectées dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster d'obtenir une répartition complète du conteneur pour qu'il s'exécute en mode root sur le nœud. Tous les clusters Linux (Container-Optimized OS et Ubuntu) sont affectés.

Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

Mise à jour du 10 juin 2022:les versions d'Anthos Service Mesh ont été mises à jour. Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Anthos Service Mesh.

Les failles CVE Envoy et Istio suivantes exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance :

• CVE-2022-31045: le plan de données Istio peut accéder à la mémoire de manière non sécurisée lorsque les extensions Metadata Exchange et Stats sont activées.
• CVE-2022-29225: les données peuvent dépasser les limites intermédiaires de la mémoire tampon si un pirate informatique malveillant passe une petite charge utile hautement compressée (attaque par bombe ZIP).
• CVE-2021-29224: déréférence potentielle d'un pointeur nul dans GrpcHealthCheckerImpl.
• CVE-2021-29226: le filtre OAuth permet un contournement simple.
• CVE-2022-29228: le filtre OAuth peut corrompre la mémoire (versions précédentes) ou déclencher une erreur ASSERT() (versions ultérieures).
• CVE-2022-29227: plantage des redirections internes pour les requêtes contenant un corps ou des bandes-annonces.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Anthos Service Mesh.

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

Mise à jour du 22/11/2022:Les clusters GKE Autopilot et les charges de travail exécutés dans GKE Sandbox ne sont pas affectés.

Mise à jour du 12/05/2022:Les versions des clusters Anthos sur AWS et d'Anthos on Azure ont été mises à jour. Pour obtenir des instructions et plus de détails, consultez les ressources suivantes:

• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité Anthos sur solution Bare Metal

---

Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes).

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Mise à jour du 22/11/2022:Pour les clusters GKE dans les deux modes (Standard et Autopilot), les charges de travail utilisant GKE Sandbox ne sont pas affectées.

Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits du conteneur à la racine. Cette faille affecte les produits suivants:

• Pools de nœuds GKE versions 1.22 et ultérieures qui utilisent des images Container-Optimized OS (Container-Optimized OS 93 et versions ultérieures)
• Clusters Anthos sur VMware v1.10 pour les images Container-Optimized OS
• Clusters Anthos sur AWS v1.21 et clusters Anthos sur AWS (génération précédente) v1.19, v1.20, v1.21, qui utilisent Ubuntu
• Clusters gérés d'Anthos on Azure v1.21 qui utilisent Ubuntu

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure
• Bulletin de sécurité Anthos sur solution Bare Metal

Mise à jour du 11/08/2022 : ajout d'informations sur la configuration multithread (Simultaneous Multi-Threading) . SMT était destiné à être désactivé, mais il a été activé sur les versions répertoriées.

Si vous avez activé manuellement SMT pour un pool de nœuds en bac à sable, SMT restera activé manuellement, malgré ce problème.

Il existe une erreur de configuration avec le mode SMT (Simultaneous Multi-Threading), également appelé Hyper-Threading, sur les images GKE Sandbox. L'erreur de configuration laisse des nœuds potentiellement exposés à des attaques de versions secondaires, telles que l'échantillonnage des données microarchitecturales (pour en savoir plus, consultez la documentation de GKE Sandbox). Nous vous déconseillons d'utiliser les versions concernées suivantes :

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de GKE.

La faille CVE Istio suivante expose Anthos Service Mesh à une faille exploitable à distance:

• CVE-2022-24726: le plan de contrôle Istio, "istiod", est vulnérable aux erreurs de traitement des requêtes, ce qui permet à un pirate informatique malveillant d'envoyer un message spécialement conçu, ce qui entraîne le plantage du plan de contrôle lorsque le webhook de validation d'un cluster est exposé publiquement. Ce point de terminaison est diffusé sur le port TLS 15017, mais ne nécessite aucune authentification de la part du pirate informatique.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité suivant:

• Bulletin de sécurité d'Anthos Service Mesh

• CVE-2022-24726

Certains chemins inattendus permettant d'accéder à la VM de nœud sur les clusters GKE Autopilot auraient pu être utilisés pour une élévation des privilèges dans le cluster. Ces problèmes ont été corrigés et aucune autre action n'est requise. Ces correctifs permettent de résoudre les problèmes signalés via notre Vulnerability Reward Program.

Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de GKE.

Mise à jour du 28/04/2022 : ajout de versions de Clusters Anthos sur VMware pour corriger ces failles. Pour en savoir plus, consultez le bulletin de sécurité des clusters Anthos sur VMware.

• CVE-2022-23606 : lorsqu'un cluster est supprimé via le service de découverte de clusters (CDS), toutes les connexions inactives établies aux points de terminaison de ce cluster sont déconnectées. Une récursion a été introduite par erreur dans la version 1.19 d'Envoy dans la procédure de déconnexion des connexions inactives, qui peut entraîner l'épuisement de la pile et l'arrêt anormale du processus lorsqu'un cluster comporte un grand nombre de connexions inactives.
• CVE-2022-21655 : le code de redirection interne d'Envoy suppose qu'une entrée de route existe. Lorsqu'une redirection interne est effectuée sur une route qui possède une entrée de réponse directe et aucune entrée de route, elle entraîne le déréférencement d'un pointeur nul et un plantage.
• CVE-2021-43826 : lorsqu'Envoy est configuré pour utiliser tcp_proxy qui utilise la tunnelisation en amont (via HTTP) et la terminaison TLS en aval, Envoy plante si le client en aval se déconnecte lors du handshake TLS alors que le flux HTTP en amont est toujours en cours d'établissement. La déconnexion en aval peut être initiée par le client ou le serveur. Le client peut se déconnecter pour n'importe quelle raison. Le serveur peut se déconnecter s'il ne dispose, par exemple, d'aucun algorithme de chiffrement TLS ou d'aucune version de protocole TLS compatible avec le client. Il est également possible de déclencher ce plantage dans d'autres configurations en aval.
• CVE-2021-43825 : l'envoi d'une réponse générée localement doit interrompre le traitement des données de requête ou de réponse. Envoy suit la quantité de données de requête et de réponse mises en mémoire tampon, et abandonne la requête si la quantité de données en mémoire tampon dépasse la limite en envoyant 413 ou 500 réponses. Toutefois, lorsque la réponse générée localement est envoyée en raison du dépassement de tampon interne pendant que la réponse est traitée par la chaîne de filtres, l'opération peut ne pas être correctement annulée et entraîner l'accès à un bloc de mémoire libérée.
• CVE-2021-43824 : Envoy plante lors de l'utilisation du filtre JWT avec une règle de correspondance "safe_regex" et une requête spécialement conçue comme "CONNECT host:port HTTP/1.1". Lorsque vous atteignez le filtre JWT, une règle "safe_regex" doit évaluer le chemin de l'URL, mais il n'y en a pas ici, et Envoy plante avec des erreurs de segmentation.
• CVE-2022-21654 : Envoy autorise à tort la reprise de session TLS après la reconfiguration des paramètres de validation mTLS. Si un certificat client était autorisé avec l'ancienne configuration, mais interdit avec la nouvelle configuration, le client peut reprendre la session TLS précédente même si la configuration actuelle l'interdit. Les modifications apportées aux paramètres suivants sont affectées :
  • nom_objet_correspondance
  • Modifications apportées à la LRC
  • autoriser_certificat_expiration
  • Validation de la chaîne de confiance
  • crl_uniquement_pour_vérifier_le_certificat
• CVE-2022-21657 : Envoy ne limite pas l'ensemble de certificats acceptés par le pair (qu'il s'agisse d'un client TLS ou d'un serveur TLS) aux seuls certificats contenant l'extension "ExtendedKeyUsage" nécessaire (id-kp-serverAuth et id-kp-clientAuth, respectivement). Cela signifie qu'un pair peut présenter un certificat de messagerie (par exemple, id-kp-emailProtection), soit en tant que certificat d'entité finale, soit en tant qu'autorité de certification de la chaîne, et il sera accepté pour le protocole TLS. Cela est particulièrement insatisfaisant lorsqu'elle est associée à la faille CVE-2022-21656 , car elle permet à une autorité de certification Web PKI destinée uniquement à être utilisée avec S/MIME, et donc exemptée de l'audit ou de la supervision, à émettre des certificats TLS qui seront acceptés par Envoy.
• CVE-2022-21656 : l'implémentation du programme de validation utilisée pour implémenter les routines de validation des certificats par défaut présente un bug de type "confussion de type" lors du traitement de subjectAltNames. Ce traitement permet, par exemple, d'authentifier un rfc822Name ou uniformResourceIndicator en tant que nom de domaine. Cette confusion permet de contourner nameConstraints, tel qu'il est traité par l'implémentation OpenSSL/BoringSSL sous-jacente, ce qui expose la possibilité d'usurpation d'identité de serveurs arbitraires.

• Bulletin de sécurité Anthos Service Mesh

• Bulletin de sécurité Istio sur GKE

• GKE
• Anthos Clusters on VMware
• Anthos sur solution Bare Metal

Les failles CVE Envoy et Istio suivantes exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance:

• CVE-2022-23635: Istiod plante à la réception de requêtes avec un en-tête authorization spécialement conçu.
• CVE-2021-43824: déréférence potentielle du pointeur nul lors de l'utilisation de la correspondance safe_regex avec le filtre JWT
• CVE-2021-43825: utilisation après libération (use-after-free) lorsque les filtres de réponse augmentent les données de réponse et que davantage de données dépassent les limites de la mémoire tampon en aval.
• CVE-2021-43826: utilisation après libération (use-after-free) lors de la tunnelisation TCP sur HTTP, en cas de déconnexion en aval lors de l'établissement de la connexion en amont.
• CVE-2022-21654: la gestion incorrecte de la configuration permet de réutiliser des sessions mTLS sans nouvelle validation après la modification des paramètres de validation.
• CVE-2022-21655: traitement incorrect des redirections internes vers des routes avec une entrée de réponse directe.
• CVE-2022-23606: épuisement de la pile lorsqu'un cluster est supprimé via le service de découverte de clusters.

Pour obtenir des instructions et plus d'informations, consultez les bulletins de sécurité suivants:

• Bulletin de sécurité d'Anthos Service Mesh
• Bulletin de sécurité d'Istio sur GKE

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

Mise à jour du 16/05/2022:ajout de la version 1.19.16-gke.7800 ou d'une version ultérieure de GKE à la liste des versions contenant du code permettant de corriger cette faille. Pour en savoir plus, consultez le bulletin de sécurité de GKE.

Mise à jour du 12/05/2022:Les versions de GKE, Clusters Anthos sur VMware, Clusters Anthos sur AWS et Anthos on Azure ont été mises à jour. Pour obtenir des instructions et plus de détails, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure

Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction cgroup_release_agent_write du noyau Linux. L'attaque utilise des espaces de noms utilisateur non privilégiés et, dans certaines circonstances, peut être exploitable pour l'interruption d'un conteneur.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité d'Anthos sur Azure

Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Bulletin de sécurité d'Anthos sur Azure

Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Bulletin de sécurité d'Anthos sur Azure

Mise à jour du 25/02/2022:les versions de GKE ont été mises à jour. Pour obtenir des instructions et plus de détails, consultez les ressources suivantes:

• Bulletin de sécurité de GKE

Mise à jour du 23/02/2022 : les versions de GKE et des clusters Anthos sur VMware ont été mises à jour. Pour obtenir des instructions et plus de détails, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware

Mise à jour du 04-02-2022 : la date de début du déploiement des versions de correctif de GKE était le 2 février.

Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, les clusters Anthos sur VMware, les clusters Anthos sur AWS (génération actuelle et précédente) et Anthos on Azure. Les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles. Pour en savoir plus, consultez la page Notes de version.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Un problème potentiel de déni de service dans protobuf-java a été détecté lors de la procédure d'analyse des données binaires.

Que dois-je faire ?

Assurez-vous d'utiliser les versions les plus récentes des packages logiciels suivants:

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [gem JRuby] (3.19.2)

Les utilisateurs Protobuf "javalite" (généralement Android) ne sont pas concernés.

Quelles failles ce correctif permet-il de résoudre ?

Ce correctif réduit les risques liés à la faille suivante :

Faiblesse de l'implémentation concernant l'analyse des champs inconnus en Java. Une petite charge utile malveillante (environ 800 Ko) peut occuper l'analyseur pendant plusieurs minutes en créant un grand nombre d'objets à courte durée de vie, qui entraînent des pauses fréquentes et répétées de la récupération de mémoire.

Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité Anthos sur solution Bare Metal

Il existe un problème connu lorsque la mise à jour d'une ressource BackendConfig à l'aide de l'API v1beta1 supprime des règles de sécurité Google Cloud Armor actives de son service.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

Une faille a été détectée dans le module LDAP Anthos Identity Service (AIS) des versions 1.8 et 1.8.1 d'Anthos Clusters on VMware, où une clé initiale utilisée dans la génération de clés est prévisible. Avec cette faille, un utilisateur authentifié peut ajouter des revendications arbitraires et élever les privilèges indéfiniment.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos clusters on VMware.

Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité Anthos sur solution Bare Metal

Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau).

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Certains équilibreurs de charge Google Cloud qui acheminent vers un service de backend Identity-Aware Proxy (IAP) peuvent être vulnérables à une partie non approuvée dans des conditions limitées. Ce changement résout un problème signalé via notre Vulnerability Reward Program.

• Les équilibreurs de charge HTTP(S) et
• Utilisé un backend par défaut ou un backend comportant une règle de mappage d'hôte générique (c'est-à-dire host="*")

De plus, un utilisateur de votre organisation doit avoir cliqué sur un lien spécialement créé qui a été envoyé par une partie non approuvée.

Le problème a donc été résolu. IAP a été mis à jour pour émettre des cookies uniquement vers les hôtes autorisés depuis le 17 septembre 2021. Un hôte est considéré comme étant autorisé s'il correspond à au moins un SAN (Subject Alternative Name, nom alternatif du sujet) dans l'un des certificats installés sur vos équilibreurs de charge.

Que devez-vous faire ?

Certains de vos utilisateurs pourraient recevoir une réponse "HTTP 401: Unauthorized" accompagnée du code d'erreur 52 d'IAP en essayant d'accéder à vos applications ou services. Ce code d'erreur signifie que le client a envoyé un en-tête Host qui ne correspond à aucun autre nom d'objet associé au certificat SSL de l'équilibreur de charge. Un administrateur d'équilibreur de charge doit mettre à jour les certificats SSL afin que la liste des SAN contienne tous les noms d'hôtes via lesquels les utilisateurs accèdent à vos applications et services protégés par IAP. En savoir plus sur les codes d'erreur IAP.

Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité Anthos sur solution Bare Metal

Mise à jour du 23-09-2021 : les conteneurs s'exécutant dans GKE Sandbox ne sont pas affectés par cette faille pour les attaques provenant du conteneur.

Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu).

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE.
• Clusters Anthos sur le bulletin de sécurité AWS.

Les failles CVE Envoy et Istio suivantes exposent Anthos Service Mesh et Istio sur GKE à des failles exploitables à distance :

• CVE-2021-39156 : les requêtes HTTP comportant un fragment (une section à la fin d'un URI commençant par le caractère #) dans le chemin de l'URI peuvent contourner les règles d'autorisation d'URI basées sur le chemin d'URI.
• CVE-2021-39155 : les requêtes HTTP peuvent potentiellement contourner une règle d'autorisation Istio lors de l'utilisation de règles basées sur hosts ou notHosts.
• CVE-2021-32781 : affecte les extensions propriétaires decompressor, json-transcoder ou grpc-web, ou les extensions propriétaires qui modifient et augmentent la taille des corps de requêtes ou de réponses. La modification et l'augmentation de la taille du corps d'une extension Envoy, au-delà de la taille du tampon interne, peuvent l'amener à accéder à la mémoire allouée et à s'arrêter de manière anormale.
• CVE-2021-32780 : un service en amont non approuvé peut entraîner l'arrêt anormal d'Envoy en envoyant le cadre GOAWAY suivi du cadre SETTINGS avec le paramètre SETTINGS_MAX_CONCURRENT_STREAMS défini sur 0. (Non applicable à Istio sur GKE)
• CVE-2021-32778 : un client Envoy qui ouvre, puis réinitialise un grand nombre de requêtes HTTP/2 peut entraîner une consommation excessive du processeur. (Non applicable à Istio sur GKE)
• CVE-2021-32777 : les requêtes HTTP contenant plusieurs en-têtes de valeurs pourraient effectuer une vérification incomplète des règles d'autorisation lorsque l'extension ext_authz est utilisée.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité d'Anthos Service Mesh
• Bulletin de sécurité d'Istio sur GKE

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges CAP_NET_ADMIN peut permettre à l'interruption d'un conteneur de remonter jusqu'à l'accès racine de l'hôte. Cette faille affecte tous les clusters GKE et Anthos Clusters on VMware exécutant Linux 2.6.19 ou version ultérieure.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE.
• Bulletin de sécurité Anthos Clusters on VMware.

Microsoft a publié un bulletin de sécurité sur la faille d'exécution de code à distance (RCE, Remote Code Execution) CVE-2021-34527, qui affecte le spouleur d'impression sur les serveurs Windows. Le CERT Coordination Center (CERT/CC) a publié une note de mise à jour sur une faille similaire, surnommée "PrintNightmare", qui affecte également les spouleurs d'impression Windows : PrintNightmare, Critical Windows Print Spooler Vulnerability.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

Le projet Istio a récemment annoncé une faille de sécurité dans laquelle les identifiants spécifiés dans le champ "GatewayGateway" et "DestinationRule credentialName" sont accessibles depuis différents espaces de noms.

Pour en savoir plus sur les produits concernés et obtenir plus d'informations, consultez les pages suivantes :

• Bulletin de sécurité d'Anthos Service Mesh
• Bulletin de sécurité d'Anthos GCP-2021-012 pour plus d'informations sur Google Kubernetes Engine, Anthos sur solution Bare Metal et Anthos clusters on VMware.

Mise à jour du 19-10-2021 :

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité Anthos sur solution Bare Metal

La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans runc est susceptible d'autoriser l'accès complet à un système de fichiers de nœud.

Pour GKE, étant donné que l'exploitation de cette faille nécessite la création de pods, nous avons évalué la gravité de cette faille sur MOYEN.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE.

Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986 Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les correctifs appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Istio présente une faille exploitable à distance qui permet à un client externe d'accéder à des services inattendus dans le cluster, en contournant les vérifications d'autorisation, lorsqu'une passerelle est configurée avec la configuration de routage AUTO_PASSTHROUGH.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh.

Élevée

Istio présente une faille exploitable à distance : un chemin de requête HTTP comportant plusieurs barres obliques ou caractères de barre oblique échappée (%2F ou %5C) risque de contourner une règle d'autorisation Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Anthos Service Mesh.

Élevée

Le projet Istio a récemment annoncé une nouvelle faille de sécurité (CVE-2021-31920) affectant Istio.

Istio présente une faille exploitable à distance : lorsqu'une requête HTTP comportant plusieurs barres obliques ou caractères de barre oblique échappée peut contourner la règle d'autorisation d'Istio lorsque des règles d'autorisation basées sur le chemin sont utilisées.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE

Élevé

Une faille signalée a montré qu'Envoy ne décode pas les séquences de barres obliques échappées %2F et %5C dans les chemins d'URL HTTP dans Envoy 1.18.2 et versions antérieures. En outre, certains produits basés sur Envoy n'activent pas les contrôles de normalisation des chemins d'accès. Un pirate informatique distant peut créer un chemin avec des barres obliques (par exemple, /something%2F..%2Fadmin,) pour contourner le contrôle d'accès (par exemple, un bloc sur /admin). Un serveur backend peut ensuite décoder les séquences de barres obliques et normaliser le chemin pour fournir un accès pirate au-delà du champ d'application fourni par la stratégie de contrôle d'accès.

Que dois-je faire ?

Si les serveurs backend traitent / et %2F ou \ et%5C et qu'une correspondance basée sur le chemin d'URL est configurée, nous vous recommandons de reconfigurer le serveur backend afin de ne pas traiter \ et %2F ou \ et %5C de manière interchangeable, si possible.

Quels changements de comportement ont été introduits ?

Les options normalize_path et merge adjacent slashes d'Envoy ont été activées pour corriger les autres failles courantes de confusion des chemins d'accès dans les produits basés sur Envoy.

Élevée

Les projets Envoy et Istio ont récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258) qui pourraient permettre à un pirate informatique de faire planter Envoy.

Les clusters Google Kubernetes Engine n'exécutent pas Istio par défaut et ne sont pas vulnérables. Si Istio a été installé dans un cluster et est configuré pour exposer des services sur Internet, ces services peuvent être vulnérables aux attaques par déni de service.

Les clusters Anthos on bare metal et Anthos sur VMware utilisent Envoy par défaut pour Ingress. Par conséquent, les services Ingress risquent d'être vulnérables aux attaques par déni de service.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Bulletin de sécurité Anthos sur solution Bare Metal

Moyenne

• CVE-2021-28683
• CVE-2021-28682
• CVE-2021-29258

Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation.

Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Node (par exemple, des champs dans Node.NodeSpec), le pirate a la possibilité de mettre à jour les propriétés d'un nœud, ce qui peut entraîner la compromission d'un cluster. Aucune des stratégies appliquées par GKE et les contrôleurs d'admission intégrés de Kubernetes n'est affectée, mais nous recommandons aux clients de vérifier les webhooks d'admission supplémentaires qu'ils ont installés, le cas échéant.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité Anthos sur solution Bare Metal

Moyenne

CVE-2021-25735

Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974

Une faille a été récemment découverte dans l'utilitaire Linux sudo. Cette faille, décrite dans CVE-2201-3156, peut permettre à un pirate informatique disposant d'un accès non privilégié à une interface système locale sur un système avec sudo installé de remonter jusqu'à l'accès racine du système.

L'infrastructure sous-jacente qui exécute Compute Engine n'est pas affectée par cette faille.

Tous les clusters Google Kubernetes Engine (GKE), Anthos clusters on VMware, Anthos clusters on AWS et Anthos sur solution Bare Metal ne sont pas affectés par cette faille.

Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS
• Bulletin de sécurité Anthos sur solution Bare Metal
• Bulletin de sécurité de Compute Engine

Mise à jour: 22/12/2021. Dans la section suivante, la commande GKE pour GKE doit utiliser gcloud beta au lieu de gcloud.

gcloud container clusters update –no-enable-service-externalips

1. À partir de la version 1.21 de GKE, les services comportant des adresses IP externes sont bloqués par un contrôleur d'admission DenyServiceExternalIPs activé par défaut sur les nouveaux clusters.
2. Les clients qui passent à la version 1.21 de GKE peuvent bloquer des services avec des adresses IP externes à l'aide de la commande suivante:

   
   gcloud container clusters update –no-enable-service-externalips
   

Pour en savoir plus, consultez la page Renforcer la sécurité d'un cluster.

Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster. Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes.

Tous les clusters Google Kubernetes Engine (GKE), Anthos clusters on VMware et Anthos clusters on AWS sont affectés par cette faille.

Que dois-je faire ?

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS

Moyenne

Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :

• CVE-2020-8563 : fuites des secrets dans les journaux du fournisseur vSphere kube-controller-manager
• CVE-2020-8564 : fuite des secrets de configuration Docker lorsque le fichier est mal formé, et que le niveau de journalisation est supérieur ou égal à 4.
• CVE-2020-8565 : correction partielle de la faille CVE-2019-11250 dans Kubernetes occasionnant la divulgation des jetons dans les journaux lorsque le niveau de journalisation est supérieur ou égal à 9. Faille détectée par la sécurité de GKE.
• CVE-2020-8566 : fuite des secrets des administrateurs Ceph RBD dans les journaux lorsque le niveau de journalisation est supérieur ou égal à 4.

Que dois-je faire ?

Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE.

Aucune

• CVE-2020-8563
• CVE-2020-8564
• CVE-2020-8565
• CVE-2020-8566

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) n'est pas affecté.

GKE On-Prem

GKE On-Prem n'est pas affecté.

GKE sur AWS

GKE sur AWS n'est pas affecté.

CVE-2020-1472 Une faille dans Windows Server permet aux pirates informatiques d'utiliser le protocole distant Netlogon pour exécuter une application spécialement conçue sur un appareil du réseau.

Score de base NVD : 10 (critique)

CVE-2020-1472

Compute Engine

CVE-2020-1472

Pour la plupart des clients, aucune action n'est requise.

Les clients qui utilisent des machines virtuelles Compute Engine exécutant Windows Server doivent s'assurer que leurs instances ont été mises à jour avec la dernière version du correctif Windows ou qu'ils utilisent les images Windows Server publiées après le 17-08-2020 (v20200813 ou version ultérieure).

Google Kubernetes Engine

CVE-2020-1472

Pour la plupart des clients, aucune action n'est requise.

Tous les clients hébergeant des contrôleurs de domaine dans leurs nœuds Windows Server GKE doivent s'assurer que les nœuds et les charges de travail conteneurisées qui s'exécutent sur ces nœuds disposent de la dernière image de nœud Windows lorsqu'elle est disponible. Une nouvelle version de l'image de nœud sera annoncée dans les notes de version de GKE en octobre.

Service géré pour Microsoft Active Directory

CVE-2020-1472

Pour la plupart des clients, aucune action n'est requise.

Le correctif d'août publié par Microsoft qui inclut les correctifs du protocole NetLogon a été appliqué à tous les contrôleurs de domaine Microsoft AD gérés. Ce correctif fournit des fonctionnalités pour se protéger contre une exploitation potentielle. L'application des correctifs en temps opportun est l'un des principaux avantages de l'utilisation du service géré pour Microsoft Active Directory. Tous les clients qui exécutent manuellement Microsoft Active Directory (et n'utilisent pas le service géré de Google Cloud) doivent s'assurer que leurs instances disposent du dernier correctif Windows ou utiliser des images Windows Server.

Google Workspace

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement standard App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement flexible App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Run

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Functions

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Composer

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataflow

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataproc

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud SQL

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte.

Tous les nœuds GKE sont affectés. Les pods exécutés dans GKE Sandbox ne peuvent pas exploiter cette faille.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE.
• Bulletin de sécurité Anthos Clusters on VMware.
• Clusters Anthos sur le bulletin de sécurité AWS.

Élevée

CVE-2020-14386

Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS

Faible (GKE et Anthos clusters on AWS),
Moyenne (Anthos clusters on VMware)

CVE-2020-8558

CVE-2020-1350 : les serveurs Windows qui diffusent avec une capacité de serveur DNS peuvent être exploités par le compte système local pour exécuter du code non approuvé.

Score de base NVD : 10,0 (critique)

CVE-2020-1350

Compute Engine

CVE-2020-1350

Pour la plupart des clients, aucune action n'est requise.

Les clients qui utilisent des machines virtuelles Compute Engine exécutant Windows Server avec une capacité de serveur DNS doivent s'assurer que leurs instances disposent du dernier correctif Windows ou utiliser les images Windows Server fournies depuis le 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Pour la plupart des clients, aucune action n'est requise.

Les clients qui utilisent GKE avec un nœud Windows Server et une capacité de serveur DNS doivent mettre à jour manuellement les nœuds et les charges de travail conteneurisées s'exécutant sur ces nœuds vers une version de serveur Windows contenant le correctif.

Service géré pour Microsoft Active Directory

CVE-2020-1350

Pour la plupart des clients, aucune action n'est requise.

Tous les domaines Microsoft AD gérés ont été automatiquement mis à jour avec l'image corrigée. Tous les clients qui exécutent manuellement Microsoft Active Directory (et n'utilisent pas de domaine Microsoft AD géré) doivent s'assurer que leurs instances disposent du dernier correctif Windows ou utiliser les images Windows Server fournies depuis le 14/07/2020.

Google Workspace

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement standard App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement flexible App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Run

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Functions

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Composer

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataflow

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataproc

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud SQL

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction.

Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS

Moyen

CVE-2020-8559

Description

Les VM pour lesquelles OS Login est activé peuvent être exposées aux failles d'élévation des privilèges. Ces failles permettent aux utilisateurs disposant d'autorisations OS Login (mais pas d'un accès administrateur) de remonter jusqu'à l'accès racine dans la VM.

Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Compute Engine.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs de Kubernetes et est donc affecté par cette faille. Nous vous recommandons de mettre à niveau le plan de contrôle vers la dernière version du correctif. Aucune mise à niveau de nœud n'est requise.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS

Moyenne

CVE-2020-8555

Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) sont affectés par cette faille. Par conséquent, nous vous recommandons de procéder à la mise à niveau vers la dernière version du correctif.

Pour obtenir des instructions et plus d'informations, consultez les ressources suivantes:

• Bulletin de sécurité de GKE
• Bulletin de sécurité Anthos Clusters on VMware
• Clusters Anthos sur le bulletin de sécurité AWS

Moyenne

Problème Kubernetes 91507

La faille CVE-2020-8835 a été récemment découverte dans le noyau Linux. Elle permet de "s'échapper d'un conteneur" pour obtenir un accès root (racine) sur le nœud hôte.

Cette faille affecte les nœuds Ubuntu exécutant GKE 1.16 ou 1.17 dans Google Kubernetes Engine (GKE). Nous vous recommandons donc de passer à la dernière version du correctif dès que possible.

Veuillez consulter le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.

Élevée

CVE-2020-8835

CVE-2019-11254 : faille de déni de service (DoS) qui affecte le serveur d'API.

Moyenne

CVE-2019-11254

CVE-2019-11254 : faille de déni de service (DoS) qui affecte le serveur d'API.

Moyenne

CVE-2019-11254

CVE-2020-8551 : faille de déni de service (DoS) qui affecte le kubelet.

Moyen

CVE-2020-8551

CVE-2020-8552 : faille de déni de service (DoS) qui affecte le serveur d'API.

Moyen

CVE-2020-8552

CVE-2020-0601 : cette faille est également appelée "faille de spoofing de l'API Windows Crypto". Ils pourraient être exploités pour faire croire à des exécutables malveillants ou permettre au pirate informatique de mener des attaques MITM ("man in the middle") et de déchiffrer des informations confidentielles sur les connexions des utilisateurs au logiciel concerné.

Score de base NVD : 8,1 (élevé)

CVE-2020-0601

Compute Engine

CVE-2020-0601

Pour la plupart des clients, aucune action n'est requise.

Les clients qui utilisent les machines virtuelles Compute Engine exécutant Windows Server doivent s'assurer que leurs instances disposent du dernier correctif Windows ou utiliser les images Windows Server fournies depuis le 15/01/2020. Pour en savoir plus, consultez le bulletin de sécurité de Compute Engine.

Google Kubernetes Engine

CVE-2020-0601

Pour la plupart des clients, aucune action n'est requise.

Les clients qui utilisent GKE avec des nœuds Windows Server doivent mettre à jour à la fois les nœuds et les charges de travail en conteneur exécutées sur ceux-ci, en installant les versions corrigées pour réduire les risques liés à cette faille. Veuillez consulter le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.

Service géré pour Microsoft Active Directory

CVE-2020-0601

Pour la plupart des clients, aucune action n'est requise.

Tous les domaines Microsoft AD gérés ont été automatiquement mis à jour avec l'image corrigée. Tous les clients qui exécutent manuellement Microsoft Active Directory (et n'utilisent pas de domaine Microsoft AD géré) doivent s'assurer que leurs instances disposent du dernier correctif Windows ou utiliser les images Windows Server fournies depuis le 15/01/2020.

Google Workspace

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement standard App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Environnement flexible App Engine

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Run

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Functions

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud Composer

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataflow

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Dataproc

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

Cloud SQL

Aucune action n'est requise de la part du client.

Ce service n'est pas affecté par cette faille.

CVE-2019-11135 — Cette faille s'intitule "TSX Asynchronous Abort" (abandon asynchrone de TSX). Elle peut être exploitée à des fins d'exécution spéculative au sein d'une transaction TSX. En raison de l'exposition de structures de données permise par l'échantillonnage de données microarchitectural, cette faille présente un risque de divulgation des données.

Moyenne

CVE-2019-11135

CVE-2018-12207 — Faille de déni de service (DoS) qui concerne les hôtes de machines virtuelles et non les invités. Cette faille s'intitule "Machine Check Error on Page Size Change" (erreur de vérification machine lors du changement de format de page).

Moyenne

CVE-2018-12207

Compute Engine

CVE-2019-11135

Pour la majorité des clients, aucune autre action n'est requise.

Il est recommandé aux clients des types de machine N2, C2 ou M2 qui exécutent du code non approuvé dans leurs propres services mutualisés et au sein de machines virtuelles Compute Engine d'arrêter, puis de redémarrer leurs VM pour s'assurer qu'elles prennent en compte les dernières mesures d'atténuation des risques liés à la sécurité.

CVE-2018-12207

Pour tous les clients, aucune autre action n'est requise.

Google Kubernetes Engine

CVE-2019-11135

Pour la majorité des clients, aucune autre action n'est requise.

Vous devez redémarrer vos nœuds si vous utilisez des pools de nœuds N2, M2 ou C2 qui exécutent du code non approuvé dans vos propres clusters GKE mutualisés. Si vous souhaitez redémarrer l'ensemble des nœuds de votre pool de nœuds, vous devez mettre à niveau ce dernier.

CVE-2018-12207

Pour tous les clients, aucune autre action n'est requise.

Environnement standard App Engine

Aucune autre action n'est requise.

Environnement flexible App Engine

CVE-2019-11135

Aucune autre action n'est requise.

Nous recommandons aux clients de consulter les bonnes pratiques Intel concernant le partage au niveau de l'application. Celui-ci peut se produire entre hyperthreads reliés au sein d'une VM Flex.

CVE-2018-12207

Aucune autre action n'est requise.

Cloud Run

Aucune autre action n'est requise.

Cloud Functions

Aucune autre action n'est requise.

Cloud Composer

Aucune autre action n'est requise.

Dataflow

CVE-2019-11135

Pour la majorité des clients, aucune autre action n'est requise.

Il est recommandé aux clients Dataflow qui exécutent plusieurs charges de travail non approuvées sur des VM Compute Engine de type N2, C2 ou M2 gérés par DataFlow et qui craignent les attaques d'invités internes de redémarrer tous les pipelines de streaming en cours d'exécution. Si vous le souhaitez, vous pouvez annuler l'exécution des pipelines par lots, puis les relancer. Aucune action n'est requise concernant les pipelines que vous lancez ultérieurement.

CVE-2018-12207

Pour tous les clients, aucune autre action n'est requise.

Dataproc

CVE-2019-11135

Pour la majorité des clients, aucune autre action n'est requise.

Les clients Cloud Dataproc qui gèrent plusieurs charges de travail non approuvées dans un même cluster Cloud Dataproc s'exécutant sur des VM Compute Engine de type N2, C2 ou M2 et qui craignent les attaques d'invités internes doivent redéployer leurs clusters.

CVE-2018-12207

Pour tous les clients, aucune autre action n'est requise.

Cloud SQL

Aucune autre action n'est requise.