Sicherheitsbulletins

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38001

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.33.1-gke.1959000
• 1.30.12-gke.1279000
• 1.31.9-gke.1287000
• 1.28.15-gke.2428000
• 1.29.15-gke.1549000
• 1.32.4-gke.1698000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38001

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38001

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38001

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38001

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37997

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.15-gke.2403000
• 1.31.9-gke.1176000
• 1.30.12-gke.1246000
• 1.29.15-gke.1523000
• 1.33.1-gke.1545000
• 1.27.16-gke.2874000
• 1.32.4-gke.1603000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37997

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37997

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37997

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37997

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38000

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.33.1-gke.1545000
• 1.27.16-gke.2874000
• 1.32.4-gke.1603000
• 1.28.15-gke.2403000
• 1.30.12-gke.1246000
• 1.31.9-gke.1176000
• 1.29.15-gke.1523000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38000

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38000

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38000

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-38000

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Es wurde ein Sicherheitsproblem entdeckt, bei dem Angreifer möglicherweise die Einschränkungen der Arbeitslastisolation in GKE-Clustern umgehen können. Nur Cluster, die auf die Knotenisolierung angewiesen sind, um Arbeitslasten in einem Cluster zu trennen, sind betroffen. Die Knotenisolation sollte niemals als primäre Sicherheitsgrenze verwendet werden.

Um diese Sicherheitslücke auszunutzen, müssen sich Angreifer zuerst Zugriff auf die kubelet-Knotenclientanmeldedaten verschaffen. Für den Zugriff auf diese Anmeldedaten sind in der Regel Root-Berechtigungen auf dem Host und Zugriff auf das Hostdateisystem erforderlich. Bei den meisten Systemen benötigen Sie sowohl eine Sicherheitslücke in der Anwendung, um Zugriff auf die Arbeitslast zu erhalten, als auch eine Sicherheitslücke im Container, um Zugriff auf den Host zu erhalten. Angreifer mit Zugriff auf solche Anmeldedaten könnten Folgendes tun:

• Angreifer könnten den Knoten mit demselben Namen, aber mit unterschiedlichen Werten für bestimmte Felder im Knotenobjekt neu registrieren. Ein Angreifer könnte .spec.providerID so festlegen, dass es auf eine andere Instanz im Cluster verweist. Dadurch würde die GKE-Steuerungsebene die referenzierte Compute Engine-Instanz löschen.
• Angreifer könnten auch .spec.taints ändern, um die Planung von Arbeitslasten zu beeinflussen. Wenn Sie die Knotenisolierung als Sicherheitskontrolle implementieren, müssen Sie Labels und Labelselektoren mit dem Präfix node-restriction.kubernetes.io/ verwenden, um zu verhindern, dass kompromittierte Knoten das Planungsverhalten manipulieren.

Wie gehe ich am besten vor?

Nehmen Sie die folgenden Änderungen vor, um das Problem zu beheben:

Beheben Sie das Problem mit der Anbieter-ID, indem Sie Ihre GKE-Cluster auf eine gepatchte Version aktualisieren. Die folgenden GKE-Versionen oder höher wurden aktualisiert, um das Problem mit providerID zu beheben:

• 1.33.1-gke.1386000
• 1.32.4-gke.1533000
• 1.31.9-gke.1119000
• 1.30.12-gke.1208000

Wenn Sie kein Upgrade durchführen können, implementieren Sie optional die folgende validierende Zulassungsrichtlinie für Ihren Cluster, um das Problem mit providerID zu beheben:

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicy
metadata:
  name: validate-node-providerid
spec:
  failurePolicy: Fail
  matchConstraints:
    resourceRules:
    - apiGroups:   [""]
      apiVersions: ["v1"]
      operations:  ["CREATE", "UPDATE"]
      resources:   ["nodes"]
  matchConditions:
  - name: "has-providerid"
    expression: "has(object.spec.providerID)"
  validations:
  - expression: "object.spec.providerID == '' || object.spec.providerID.endsWith('/' + object.metadata.name)"
    message: "node.spec.providerID must match the node name"
---
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicyBinding
metadata:
  name: validate-node-providerid-binding
spec:
  policyName: validate-node-providerid
  validationActions: [Deny]

Knotenbeschränkte Labels verwenden, um Arbeitslasten als Sicherheitskontrolle auf bestimmte Knoten zu isolieren

Wenn Sie Labels für die Knotenisolation verwenden, wie in der Kubernetes-Dokumentation beschrieben, verwenden Sie knotenbeschränkte Labels (z. B. Labels der Form node-restriction.kubernetes.io/example-constraint) in den Begriffen für die Knotenaffinität und den Knotenselektor, die für die Arbeitslastisolation verwendet werden.

Der Admission-Controller NodeRestriction verhindert, dass Kubelet-Knotenanmeldedaten solche Labels anwenden. Der NodeRestriction-Admission-Controller ist in Kubernetes integriert und für alle GKE-Cluster aktiviert.

GKE schränkt den Umfang der Knotenanmeldedaten auf neu erstellten Knoten für neue Cluster ein

Als zusätzliche Sicherheitsmaßnahme wird ab GKE-Version 1.33.1-gke.1386000 der Bereich der Knotenanmeldedaten für neu erstellte Knoten eingeschränkt. Knotenanmeldedaten sind an die Compute Engine-Instanz gebunden, die ursprünglich für den Knoten bereitgestellt wurde. Nachdem die Instanz gelöscht wurde, können Angreifer solche manipulierten Anmeldedaten nicht mehr verwenden, um den Knoten mit von Angreifern kontrollierten Taints oder providerID-Werten zu registrieren. Sie können einen neuen Cluster mit Version 1.33.1-gke.1386000 oder höher erstellen, damit neu erstellte Knoten diese zusätzliche Härtung aufweisen.

Es wurde ein Sicherheitsproblem entdeckt, bei dem Angreifer möglicherweise die Einschränkungen der Isolation von Arbeitslasten in GKE-Clustern umgehen können.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich. Dieses Problem bezieht sich speziell auf die Bereitstellung und Verwaltung von GKE-Knoten in Compute Engine und gilt nicht für GDC (VMware).

Es wurde ein Sicherheitsproblem entdeckt, bei dem Angreifer möglicherweise die Einschränkungen der Isolation von Arbeitslasten in GKE-Clustern umgehen können.

Wie gehe ich am besten vor?

GKE on AWS

Es sind keine weiteren Schritte erforderlich. Dieses Problem bezieht sich speziell auf die Bereitstellung und Verwaltung von GKE-Knoten in Compute Engine und gilt nicht für GKE on AWS.

GKE on AWS (vorherige Generation)

Es sind keine weiteren Schritte erforderlich. Dieses Problem bezieht sich speziell auf die Bereitstellung und Verwaltung von GKE-Knoten in Compute Engine und gilt nicht für GKE on AWS (vorherige Generation).

Es wurde ein Sicherheitsproblem entdeckt, bei dem Angreifer möglicherweise die Einschränkungen der Isolation von Arbeitslasten in GKE-Clustern umgehen können.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich. Dieses Problem bezieht sich speziell auf die Bereitstellung und Verwaltung von GKE-Knoten in Compute Engine und gilt nicht für GKE auf Azure.

Es wurde ein Sicherheitsproblem entdeckt, bei dem Angreifer möglicherweise die Einschränkungen der Isolation von Arbeitslasten in GKE-Clustern umgehen können.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich. Dieses Problem bezieht sich speziell auf die Bereitstellung und Verwaltung von GKE-Knoten in Compute Engine und gilt nicht für GDC (Bare Metal).

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37798

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.29.15-gke.1415000
• 1.30.12-gke.1168000
• 1.31.9-gke.1044000
• 1.27.16-gke.2771000
• 1.28.15-gke.2303000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37798

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37798

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37798

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37798

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37797

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.32.4-gke.1415000
• 1.28.15-gke.2303000
• 1.27.16-gke.2820000
• 1.33.1-gke.1107000
• 1.29.15-gke.1415000
• 1.31.9-gke.1044000
• 1.30.12-gke.1168000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37797

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37797

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37797

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-37797

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21702

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.05.2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer GKE-Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.29.15-gke.1193000
• 1.30.11-gke.1157000
• 1.31.7-gke.1265000
• 1.32.3-gke.1785000
• 1.28.15-gke.2072000
• 1.27.16-gke.2650000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21702

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21702

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21702

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21702

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21971

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 02.06.2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer GKE-Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:

• 1.27.16-gke.2820000
• 1.28.15-gke.2303000
• 1.29.15-gke.1415000
• 1.30.12-gke.1168000
• 1.31.9-gke.1044000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.15-gke.2142000
• 1.30.11-gke.1157000
• 1.31.7-gke.1265000
• 1.32.3-gke.1785000
• 1.29.15-gke.1193000
• 1.27.16-gke.2682000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21971

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21971

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21971

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21971

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-21701

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.05.2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer GKE-Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.2440000
• 1.28.15-gke.1844000
• 1.29.14-gke.1018000
• 1.30.10-gke.1042000
• 1.31.6-gke.1020000
• 1.32.1-gke.1729000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-21701

Wie gehe ich am besten vor?

Aktualisierung vom 26.06.2025:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.32.0-gke.1087
• 1.31.300-gke.81
• 1.30.700-gke.56

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-21701

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-21701

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-21701

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-40364

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.2573000
• 1.28.15-gke.2003000
• 1.29.15-gke.1017000
• 1.30.10-gke.1227000
• 1.31.6-gke.1221000
• 1.32.2-gke.1652000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-40364

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-40364

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-40364

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2025-40364

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21756

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.05.2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer GKE-Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.31.6-gke.1221000
• 1.30.11-gke.1093000
• 1.29.15-gke.1134000
• 1.27.16-gke.2650000
• 1.32.3-gke.1170000
• 1.28.15-gke.2097000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21756

Wie gehe ich am besten vor?

Aktualisierung vom 05.05.2025: Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.31.400-gke.110
• 1.29.1300-gke.98

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21756

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21756

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21756

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2023-52927

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.05.2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer GKE-Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.31.6-gke.1064000
• 1.28.15-gke.2097000
• 1.32.2-gke.1652000
• 1.27.16-gke.2650000
• 1.29.15-gke.1134000
• 1.30.11-gke.1093000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2023-52927

Wie gehe ich am besten vor?

Aktualisierung vom 29.04.2025:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.31.400-gke.110
• 1.30.800-gke.66

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2023-52927

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2023-52927

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2023-52927

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21700

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.05.2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer GKE-Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.32.2-gke.1652000
• 1.28.15-gke.1844000
• 1.30.10-gke.1070000
• 1.31.6-gke.1064000
• 1.27.16-gke.2451000
• 1.29.14-gke.1067000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21700

Wie gehe ich am besten vor?

Aktualisierung vom 17.04.2025: Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Aktualisieren Sie Ihre GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher:

• 1.30.600-gke.68
• 1.29.1100-gke.82
• 1.31.300-gke.81

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21700

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21700

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21700

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21703

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.05.2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer GKE-Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.32.3-gke.1170000
• 1.29.15-gke.1017000
• 1.27.16-gke.2573000
• 1.28.15-gke.2003000
• 1.30.10-gke.1227000
• 1.31.6-gke.1221000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21703

Wie gehe ich am besten vor?

Aktualisierung vom 05.05.2025: Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.29.1300-gke.98
• 1.31.300-gke.81
• 1.30.800-gke.66

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21703

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21703

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2025-21703

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im NGINX Ingress Controller, ingress-nginx, einer Open-Source-Softwarekomponente, die in Kubernetes-Clustern ausgeführt wird, um den in den Cluster eingehenden Netzwerkverkehr zu verwalten, wurden mehrere Sicherheitsprobleme festgestellt. Die kritischste ist CVE-2025-1974. Ausführliche Informationen und eine vollständige Liste finden Sie im Kubernetes-CVE-Feed.

Diese Probleme wirken sich auf ingress-nginx aus. Wenn ingress-nginx nicht auf Ihrem Cluster installiert ist, sind Sie nicht betroffen.

GKE-Cluster verwenden nicht ingress-nginx und sind nicht von diesen Sicherheitsproblemen betroffen, es sei denn, Sie haben ingress-nginx in Ihrem Cluster installiert. Wenn Sie ingress-nginx in Ihrem GKE-Cluster installiert haben, sind Sie möglicherweise anfällig für diese Sicherheitsprobleme.

Über CVE-2025-1974 kann ein nicht authentifizierter Angreifer mit Zugriff auf das Pod-Netzwerk beliebigen Code im Kontext des ingress-nginx-Controllers ausführen. Dies kann zur Offenlegung von Secrets führen, auf die der Controller zugreifen kann. Bei Verwendung der Standardkonfiguration von ingress-nginx kann der Controller auf alle Secrets im gesamten Cluster zugreifen.

Wie gehe ich am besten vor?

1. Prüfen Sie mit einem der folgenden Befehle, ob Ihre GKE-Cluster ingress-nginx verwenden:

   • Einzelnen Cluster prüfen:

     kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

   • Sie können mehrere Cluster gleichzeitig mit einer Cloud Asset Inventory-Ressourcensuchanfrage prüfen:

     gcloud asset search-all-resources \
         --scope='organizations/ORGANIZATION_ID' \
         --asset-types='k8s.io/Pod' \
         --query='labels."app.kubernetes.io/name"="ingress-nginx"'

     Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisationsressource. Weitere Informationen finden Sie unter Organisationsressourcen-ID abrufen.

2. Führen Sie ein Upgrade von ingress-nginx auf eine gepatchte Version durch. Weitere Informationen finden Sie im offiziellen Kubernetes-CVE-Feed.

3. Netzwerkisolation in GKE anpassen

   Um Risiken durch nicht vertrauenswürdige Netzwerke zu verringern, sollten Sie private Knoten verwenden und restriktive Firewallkonfigurationen einrichten.

Im NGINX Ingress Controller, ingress-nginx, einer Open-Source-Softwarekomponente, die in Kubernetes-Clustern ausgeführt wird, um den in den Cluster eingehenden Netzwerkverkehr zu verwalten, wurden mehrere Sicherheitsprobleme festgestellt. Die kritischste ist CVE-2025-1974. Ausführliche Informationen und eine vollständige Liste finden Sie im Kubernetes-CVE-Feed.

Diese Probleme wirken sich auf ingress-nginx aus. Wenn ingress-nginx nicht auf Ihrem Cluster installiert ist, sind Sie nicht betroffen.

GDC-Software für VMware-Cluster verwendet ingress-nginx nicht und ist von diesen Sicherheitsproblemen nicht betroffen, es sei denn, Sie haben ingress-nginx auf Ihrem Cluster installiert. Wenn Sie ingress-nginx auf Ihrem GDC-Software für VMware-Cluster installiert haben, sind Sie möglicherweise anfällig für diese Sicherheitsprobleme.

Über CVE-2025-1974 kann ein nicht authentifizierter Angreifer mit Zugriff auf das Pod-Netzwerk beliebigen Code im Kontext des ingress-nginx-Controllers ausführen. Dies kann zur Offenlegung von Secrets führen, auf die der Controller zugreifen kann. Bei Verwendung der Standardkonfiguration von ingress-nginx kann der Controller auf alle Secrets im gesamten Cluster zugreifen.

Wie gehe ich am besten vor?

1. Prüfen Sie, ob Ihre GDC-Software für VMware-Cluster ingress-nginx verwendet:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Führen Sie ein Upgrade von ingress-nginx auf eine gepatchte Version durch. Weitere Informationen finden Sie im offiziellen Kubernetes-CVE-Feed.

Im NGINX Ingress Controller, ingress-nginx, einer Open-Source-Softwarekomponente, die in Kubernetes-Clustern ausgeführt wird, um den eingehenden Netzwerkverkehr in den Cluster zu verwalten, wurden mehrere Sicherheitsprobleme festgestellt. Die kritischste ist CVE-2025-1974. Ausführliche Informationen und eine vollständige Liste finden Sie im Kubernetes-CVE-Feed.

Diese Probleme wirken sich auf ingress-nginx aus. Wenn ingress-nginx nicht auf Ihrem Cluster installiert ist, sind Sie nicht betroffen.

GKE on AWS-Cluster verwenden ingress-nginx nicht und sind von diesen Sicherheitsproblemen nicht betroffen, sofern Sie ingress-nginx nicht in Ihrem Cluster installiert haben. Wenn Sie ingress-nginx auf Ihrem GKE on AWS-Cluster installiert haben, sind Sie möglicherweise anfällig für diese Sicherheitsprobleme.

Über CVE-2025-1974 kann ein nicht authentifizierter Angreifer mit Zugriff auf das Pod-Netzwerk beliebigen Code im Kontext des ingress-nginx-Controllers ausführen. Dies kann zur Offenlegung von Secrets führen, auf die der Controller zugreifen kann. Bei Verwendung der Standardkonfiguration von ingress-nginx kann der Controller auf alle Secrets im gesamten Cluster zugreifen.

Wie gehe ich am besten vor?

1. Prüfen Sie, ob Ihre GKE on AWS-Cluster ingress-nginx verwenden:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Führen Sie ein Upgrade von ingress-nginx auf eine gepatchte Version durch. Weitere Informationen finden Sie im offiziellen Kubernetes-CVE-Feed.

Im NGINX Ingress Controller, ingress-nginx, einer Open-Source-Softwarekomponente, die in Kubernetes-Clustern ausgeführt wird, um den in den Cluster eingehenden Netzwerkverkehr zu verwalten, wurden mehrere Sicherheitsprobleme festgestellt. Die kritischste ist CVE-2025-1974. Ausführliche Informationen und eine vollständige Liste finden Sie im Kubernetes-CVE-Feed.

Diese Probleme wirken sich auf ingress-nginx aus. Wenn ingress-nginx nicht auf Ihrem Cluster installiert ist, sind Sie nicht betroffen.

GKE on Azure-Cluster verwenden ingress-nginx nicht und sind von diesen Sicherheitsproblemen nicht betroffen, es sei denn, Sie haben ingress-nginx in Ihrem Cluster installiert. Wenn Sie ingress-nginx in Ihrem GKE on Azure-Cluster installiert haben, sind Sie möglicherweise anfällig für diese Sicherheitsprobleme.

Über CVE-2025-1974 kann ein nicht authentifizierter Angreifer mit Zugriff auf das Pod-Netzwerk beliebigen Code im Kontext des ingress-nginx-Controllers ausführen. Dies kann zur Offenlegung von Secrets führen, auf die der Controller zugreifen kann. Bei Verwendung der Standardkonfiguration von ingress-nginx kann der Controller auf alle Secrets im gesamten Cluster zugreifen.

Wie gehe ich am besten vor?

1. Prüfen Sie, ob Ihre GKE on Azure-Cluster ingress-nginx verwenden:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Führen Sie ein Upgrade von ingress-nginx auf eine gepatchte Version durch. Weitere Informationen finden Sie im offiziellen Kubernetes-CVE-Feed.

Im NGINX Ingress Controller, ingress-nginx, einer Open-Source-Softwarekomponente, die in Kubernetes-Clustern ausgeführt wird, um den in den Cluster eingehenden Netzwerkverkehr zu verwalten, wurden mehrere Sicherheitsprobleme festgestellt. Die kritischste ist CVE-2025-1974. Ausführliche Informationen und eine vollständige Liste finden Sie im Kubernetes-CVE-Feed.

Diese Probleme wirken sich auf ingress-nginx aus. Wenn ingress-nginx nicht auf Ihrem Cluster installiert ist, sind Sie nicht betroffen.

Die GDC-Software für Bare-Metal-Cluster verwendet ingress-nginx nicht und ist von diesen Sicherheitsproblemen nicht betroffen, sofern Sie ingress-nginx nicht in Ihrem Cluster installiert haben. Wenn Sie ingress-nginx in Ihrer GDC-Software für Bare-Metal-Cluster installiert haben, sind Sie möglicherweise anfällig für diese Sicherheitsprobleme.

Über CVE-2025-1974 kann ein nicht authentifizierter Angreifer mit Zugriff auf das Pod-Netzwerk beliebigen Code im Kontext des ingress-nginx-Controllers ausführen. Dies kann zur Offenlegung von Secrets führen, auf die der Controller zugreifen kann. Bei Verwendung der Standardkonfiguration von ingress-nginx kann der Controller auf alle Secrets im gesamten Cluster zugreifen.

Wie gehe ich am besten vor?

1. Prüfen Sie, ob Ihre GDC-Software für Bare-Metal-Cluster ingress-nginx verwendet:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Führen Sie ein Upgrade von ingress-nginx auf eine gepatchte Version durch. Weitere Informationen finden Sie im offiziellen Kubernetes-CVE-Feed.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53164

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 10. April 2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.31.6-gke.1064000
• 1.27.16-gke.2451000
• 1.28.15-gke.1844000
• 1.29.14-gke.1067000
• 1.30.10-gke.1070000
• 1.32.2-gke.1652000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.2451000
• 1.32.2-gke.1182000
• 1.29.14-gke.1067000
• 1.30.10-gke.1070000
• 1.31.6-gke.1064000
• 1.28.15-gke.1844000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53164

Wie gehe ich am besten vor?

Aktualisierung vom 10.04.2025: Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.29.1100-gke.82
• 1.31.200-gke.58
• 1.30.500-gke.126

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53164

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53164

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53164

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-56770

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 02.06.2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer GKE-Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch:

• 1.27.16-gke.2732000
• 1.28.15-gke.2192000
• 1.29.15-gke.1274000
• 1.30.12-gke.1151000
• 1.31.8-gke.1113000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.2387000
• 1.28.15-gke.1612000
• 1.29.13-gke.1006000
• 1.30.8-gke.1261000
• 1.31.5-gke.1023000
• 1.32.1-gke.1729000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-56770

Wie gehe ich am besten vor?

Aktualisierung vom 10.04.2025: Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.31.200-gke.58
• 1.30.500-gke.126
• 1.29.1100-gke.82

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-56770

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-56770

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-56770

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Das Envoy-Projekt hat vor Kurzem mehrere neue Sicherheitslücken (CVE-2024-53269, CVE-2024-53270 und CVE-2024-53271) bekanntgegeben, die es einem Angreifer ermöglichen könnten, Envoy zum Absturz zu bringen.

Die GKE-Nebenversionen 1.31 und 1.32, in denen Identity Service for GKE verwendet wird, sind betroffen. GKE Autopilot-Cluster und Cluster, die GKE Sandbox verwenden, sind ebenfalls betroffen.

Wie gehe ich am besten vor?

Führen Sie ein Upgrade Ihrer GKE-Cluster und Knotenpools auf eine der folgenden Versionen oder höher durch:

• 1.31.3-gke.1162000
• 1.32.0-gke.1448000

Wir empfehlen, Ihren Cluster manuell zu aktualisieren, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben.

Mit der neuesten Funktion Release-Versionen können Sie einen Patch anwenden, ohne das Abo eines Kanals kündigen zu müssen. Auf diese Weise können Sie Ihre Knoten sichern, bis die neue Version als Standard für Ihre spezifische Release-Version verwendet wird.

Das Envoy-Projekt hat vor Kurzem mehrere neue Sicherheitslücken (CVE-2024-53269, CVE-2024-53270 und CVE-2024-53271) bekanntgegeben, die es einem Angreifer ermöglichen könnten, Envoy zum Absturz zu bringen.

GDC-Software für VMware-Versionen 1.31, 1.30 und 1.29 mit Cloud Service Mesh-Version 1.23.3-asm.3 ist betroffen.

Wie gehe ich am besten vor?

Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Administrator- und Nutzercluster auf eine der folgenden GDC-Software für VMware-Versionen durchzuführen:

• 1.31.200
• 1.30.600
• 1.29.1000

Das Envoy-Projekt hat vor Kurzem mehrere neue Sicherheitslücken (CVE-2024-53269, CVE-2024-53270 und CVE-2024-53271) bekanntgegeben, die es einem Angreifer ermöglichen könnten, Envoy zum Absturz zu bringen.

GKE on AWS wird nicht mit Envoy ausgeliefert und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Das Envoy-Projekt hat vor Kurzem mehrere neue Sicherheitslücken (CVE-2024-53269, CVE-2024-53270 und CVE-2024-53271) bekanntgegeben, die es einem Angreifer ermöglichen könnten, Envoy zum Absturz zu bringen.

GKE on Azure wird nicht mit Envoy ausgeliefert und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts weiter tun.

Das Envoy-Projekt hat vor Kurzem mehrere neue Sicherheitslücken (CVE-2024-53269, CVE-2024-53270 und CVE-2024-53271) bekanntgegeben, die es einem Angreifer ermöglichen könnten, Envoy zum Absturz zu bringen.

Wie gehe ich am besten vor?

Die folgenden Versionen der GDC-Software für Bare Metal wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, ein Upgrade Ihrer Cluster auf eine der folgenden GDC-Softwareversionen für Bare Metal durchzuführen:

• 1.31.200-gke.59
• 1.30.600-gke.69
• 1.29.1100-gke.84

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-53141

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.2296000
• 1.28.15-gke.1673000
• 1.29.13-gke.1038000
• 1.30.9-gke.1009000
• 1.31.5-gke.1023000
• 1.32.1-gke.1729000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.2342000
• 1.28.15-gke.1720000
• 1.29.13-gke.1109000
• 1.30.9-gke.1127000
• 1.31.5-gke.1169000
• 1.32.1-gke.1729000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-53141

Wie gehe ich am besten vor?

Aktualisierung vom 10.04.2025: Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.31.200-gke.58
• 1.30.600-gke.68
• 1.29.1100-gke.82

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-53141

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-53141

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-53141

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Google Secret Manager-Anbieter für den CSI-Treiber für Secrets Store wurde ein Sicherheitsproblem entdeckt. Um diese Sicherheitslücke auszunutzen, muss ein Angreifer Folgendes tun können:

1. Erstellen Sie Pods auf Knoten, auf denen der CSI-Treiber ausgeführt wird.
2. Erstellen Sie Secrets in denselben Namespaces wie diese Pods.
3. Stellen Sie Secrets Store-CSI-Volumes im Pod mit der Option nodePublishSecretRef bereit.
4. Geben Sie eine schädliche Konfiguration für Standardanmeldedaten für Anwendungen im Secret an.
5. Verweisen Sie in der Option nodePublishSecretRef der Volume-Bereitstellung auf das Secret.

Wenn ein Angreifer diese Schritte ausführt, kann er den CSI-Treiber dazu bringen, das Kubernetes-Dienstkontotoken des CSI-Treibers an eine vom Angreifer kontrollierte URL weiterzugeben.

Der Secret Manager-Anbieter kann auf zwei Arten mit einem GKE-Cluster verwendet werden. Das Secret Manager-Add-on für GKE ist ein verwaltetes Feature, das für GKE-Cluster verfügbar ist. Alternativ können Sie als GKE-Nutzer den Open-Source-Google Secret Manager-Anbieter für den CSI-Treiber für den Secrets-Speicher in Ihrem GKE-Cluster installieren. In beiden Fällen ermöglicht der Anbieter einem Kubernetes-Pod den Zugriff auf Secrets, die in Google Cloud Secret Manager gespeichert sind, als Dateien, die als Volume im Pod bereitgestellt sind.

Die Korrekturen für das verwaltete GKE Secret Manager-Add-on und den Open-Source-Secret Manager-Provider deaktivieren die Verwendung von „nodePublishSecretRef“, um dieses Problem zu vermeiden. Es wurde festgestellt, dass dies keine Auswirkungen auf die bestehende Nutzung des GKE Secret Manager-Add-ons hat. Eine sehr kleine Anzahl von GKE-Clustern, die den Open-Source-Secret Manager-Anbieter mit „nodePublishSecretRef“ verwenden, ist möglicherweise betroffen. Mit dem Open-Source-Patch kann die Funktion „nodePublishSecretRef“ bei Bedarf über die Umgebungsvariable ALLOW_NODE_PUBLISH_SECRET wieder aktiviert werden.

Wie gehe ich am besten vor?

Führen Sie je nach Verwendung des Secret Manager-Anbieters in Ihrem GKE-Cluster einen der folgenden Schritte aus:

Verwaltetes GKE Secret Manager-Add-on

Wenn Sie das verwaltete GKE-Add-on verwenden, führen Sie ein Upgrade Ihres GKE-Cluster auf eine gepatchte Version durch. Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Knotenpools auf die folgenden Versionen oder höher durch:

• 1.27.16-gke.2051000
• 1.28.15-gke.1362000
• 1.29.11-gke.1012000
• 1.30.6-gke.1596000
• 1.31.1-gke.1846000

Damit Sie die Fehlerkorrektur so schnell wie möglich erhalten, empfehlen wir, ein manuelles Upgrade Ihres Clusters und Ihrer Standardknotenpools auf eine gepatchte GKE-Version durchzuführen. Mit GKE-Release-Versionen können Sie Patches anwenden, bevor die neue Version zum Ziel für automatische Upgrades in der ausgewählten Release-Version wird.

Open-Source-Secret Manager-Anbieter

Wenn Sie den Open-Source-Anbieter für Secret Manager verwenden, führen Sie ein Upgrade auf 1.7.0. durch. Wenn Sie das Helm-Chart verwenden, verweist die neueste Version bereits auf 1.7.0. Wenn Sie Ihre Installation direkt auf der Datei deploy/provider-gcp-plugin.yaml basieren, beachten Sie, dass das Image auch in dieser Datei aktualisiert wurde.

Eine Sicherheitslücke im Google Secret Manager-Anbieter für den CSI-Treiber für Secrets Store ermöglicht es einem Angreifer mit Berechtigungen zum Erstellen von Pods und Secrets in einem Namespace, das Kubernetes-Dienstkonto-Token des CSI-Treibers zu exfiltrieren, indem er ein schädliches Volume in einem Pod bereitstellt.

Wie gehe ich am besten vor?

Wenn Sie den Open-Source-Secret Manager-Provider manuell installiert haben, sind Sie möglicherweise betroffen. Eine Anleitung zum Open-Source-Secret Manager-Provider finden Sie auf dem Tab GKE.

GDC-Cluster (VMware) sind ansonsten nicht betroffen, da sie kein verwaltetes Add-on bieten. Daher sind keine weiteren Maßnahmen erforderlich.

Eine Sicherheitslücke im Google Secret Manager-Anbieter für den CSI-Treiber für Secrets Store ermöglicht es einem Angreifer mit Berechtigungen zum Erstellen von Pods und Secrets in einem Namespace, das Kubernetes-Dienstkonto-Token des CSI-Treibers zu exfiltrieren, indem er ein schädliches Volume in einem Pod bereitstellt.

Wie gehe ich am besten vor?

Wenn Sie den Open-Source-Secret Manager-Provider manuell installiert haben, sind Sie möglicherweise betroffen. Eine Anleitung zum Open-Source-Secret Manager-Provider finden Sie auf dem Tab GKE.

GKE on AWS-Cluster sind ansonsten nicht betroffen, da sie kein verwaltetes Add-on bieten. Daher sind keine weiteren Maßnahmen erforderlich.

Eine Sicherheitslücke im Google Secret Manager-Anbieter für den CSI-Treiber für Secrets Store ermöglicht es einem Angreifer mit Berechtigungen zum Erstellen von Pods und Secrets in einem Namespace, das Kubernetes-Dienstkonto-Token des CSI-Treibers zu exfiltrieren, indem er ein schädliches Volume in einem Pod bereitstellt.

Wie gehe ich am besten vor?

Wenn Sie den Open-Source-Secret Manager-Provider manuell installiert haben, sind Sie möglicherweise betroffen. Eine Anleitung zum Open-Source-Secret Manager-Provider finden Sie auf dem Tab GKE.

GKE on Azure-Cluster sind ansonsten nicht betroffen, da sie kein verwaltetes Add-on bieten. Daher sind keine weiteren Maßnahmen erforderlich.

Eine Sicherheitslücke im Google Secret Manager-Anbieter für den CSI-Treiber für Secrets Store ermöglicht es einem Angreifer mit Berechtigungen zum Erstellen von Pods und Secrets in einem Namespace, das Kubernetes-Dienstkonto-Token des CSI-Treibers zu exfiltrieren, indem er ein schädliches Volume in einem Pod bereitstellt.

Wie gehe ich am besten vor?

Wenn Sie den Open-Source-Secret Manager-Provider manuell installiert haben, sind Sie möglicherweise betroffen. Eine Anleitung zum Open-Source-Secret Manager-Provider finden Sie auf dem Tab GKE.

GDC-Cluster (Bare Metal) sind ansonsten nicht betroffen, da sie kein verwaltetes Add-on bieten. Daher sind keine weiteren Maßnahmen erforderlich.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 23.01.2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher durch:

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.2081000
• 1.28.15-gke.1480000
• 1.29.12-gke.1055000
• 1.30.8-gke.1051000
• 1.31.4-gke.1072000
• 1.32.0-gke.1448000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-50264

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 23.01.2025:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Versionen oder höher durch:

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.1836000
• 1.28.15-gke.1342000
• 1.29.11-gke.1012000
• 1.30.7-gke.1077000
• 1.31.3-gke.1056000
• 1.32.0-gke.1448000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

Wie gehe ich am besten vor?

Aktualisierung vom 22.01.2025: Die folgenden Versionen von GDC (VMware) wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Cluster (VMware) auf die folgenden Versionen oder höher durch:

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-53057

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Aktualisierung vom 23.01.2025:Der Abschnitt Betroffene Ressourcen wurde aktualisiert.

Aktualisierung vom 08.01.2025:Das tatsächliche Startdatum und die tatsächliche Startzeit des Problems waren der 04.12.2024 um 22:47 Uhr (UTC).

Am 08.12.2024 um 13:44 Uhr UTC wurde ein Sicherheitsproblem eingeführt, das am 04.01.2025 um 04:00 Uhr UTC behoben wurde. Dieses Sicherheitsproblem betraf Ressourcen in VPCs, in denen GKE Multi-Cluster Gateway (MCG) konfiguriert war. MCG ist ein optionales Feature, das von einer kleinen Teilmenge von GKE-Kunden verwendet wird. Wir benachrichtigen Kunden, die die Funktion in diesem Zeitraum aktiviert hatten, individuell.

Multi-Cluster-Gateway (MCG) ist ein GKE-Feature, mit dem Kunden Traffic auf mehrere Cluster verteilen können. Dazu muss MCG Änderungen an der Firewall auf Projektebene Google Cloud vornehmen. Ein Fehler in MCG führte zur Erstellung einer Firewallregel für eingehenden Traffic, die TCP-Traffic zu allen IP-Adressen (0.0.0.0/0) und Ports innerhalb der VPC zuließ. Wir haben Maßnahmen ergriffen, um Fehler dieser Art in Zukunft zu vermeiden.

Da die Firewall eine Zulassungsliste auf VPC-Ebene ist, waren die folgenden Ressourcentypen im angegebenen Zeitraum möglicherweise über das Netzwerk erreichbar:

• Kundenanwendungen, die auf GKE-Arbeitsknoten ausgeführt werden, die über öffentliche IP-Adressen zugänglich sind.
• Kundenanwendungen, die auf Compute Engine-VMs mit öffentlichen IP-Adressen ausgeführt werden.
• Alle anderen Google Cloud -Ressourcen in derselben VPC wie der Cluster mit öffentlichen IPs und Listening-Ports.

GKE-Arbeitsknoten, Compute Engine-VMs und andere Ressourcen, die nur private IPs verwendet haben, waren möglicherweise innerhalb ihrer VPC breiter zugänglich, aber nicht für das Internet. Anwendungen, die durch die folgenden Mechanismen geschützt sind, hätten ihr Risiko verringert oder beseitigt:

• DENY-Firewallregeln mit gleicher oder höherer Priorität (MCG legt die Priorität von Firewallregeln standardmäßig auf 1.000 fest)
• Service Mesh mit identitätsbasierter Autorisierung
• Autorisierung auf Anwendungsebene

Betroffene Ressourcen

Update vom 23.01.2025:GKE-Flotten (oder Hubs), die MCG in Dienstprojekten mit freigegebener VPC verwenden, sind von dem Problem nicht betroffen, da Firewallregeln nicht über Dienstprojekte mit freigegebener VPC verwaltet werden.

Ressourcen, die sich in VPCs mit konfiguriertem GKE MCG befinden und auf öffentlichen IP-Adressen lauschen, waren betroffen. Die betroffenen Ressourcen umfassen unter anderem Anwendungen, die auf GKE-Arbeitsknoten ausgeführt werden.

Wie gehe ich am besten vor?

Das Problem wurde in allen betroffenen VPCs durch Korrektur der fehlerhaften Firewallkonfiguration behoben. Die fälschlicherweise erstellten Regeln wurden automatisch mit den entsprechenden Quellbereichen (130.211.0.0/22, 35.191.0.0/16) geändert, um den eingehenden Traffic von der Google Cloud Systemdiagnoseinfrastruktur und optional von Ihren Nur-Proxysubnetzbereichen für interne Gateways zuzulassen. Weitere Informationen zu den Firewallregeln, die von MCG automatisch in Ihren Projekten erstellt werden, finden Sie unter GKE Gateway-Firewallregeln.

Optional können Sie die Auflösung bestätigen, indem Sie die verwalteten Firewallregeln für VPCs mit GKE MCG prüfen. Prüfen Sie, ob für verwaltete Firewallregeln, die das Präfix gkemcg1-l7- verwenden, ein Quellbereich festgelegt ist. Prüfen Sie diese Regeln und bestätigen Sie, dass ein Quellbereich festgelegt ist.

Führen Sie den folgenden Befehl aus, um die von MCG verwalteten Firewallregeln in Ihrer aktuellen Umgebung aufzulisten:

gcloud compute firewall-rules list --format="json" --filter="name:gkemcg1-l7-*" | jq -r '.[] | "\(.name): \(.sourceRanges // "No source range")"' | awk -F: '{if ($2 ~ /No source range|^\s*$/) print "Rule "$1" has an EMPTY or MISSING source range."; else print "Rule "$1" has source range(s): "$2;}'

Wenn Sie in Logs nach Aktualisierungen der von MCG verwalteten Firewallkonfigurationen suchen möchten, verwenden Sie den Log-Explorer mit der folgenden Abfrage:

protoPayload.serviceName="compute.googleapis.com"
          resource.type="gce_firewall_rule"
          protoPayload.resourceName=~"projects/[^/]+/global/firewalls/gkemcg1-"
          -operation.last="true"

Führen Sie den folgenden Befehl aus, um die von MCG verwalteten Firewallregeln in Ihrer Organisation aufzulisten und Cloud Asset Inventory abzufragen:

gcloud asset search-all-resources
          --scope='organizations/'
          --asset-types='compute.googleapis.com/Firewall'
          --query 'name: //compute.googleapis.com/projects/*/*/firewalls/gkemcg*'

Die folgenden zusätzlichen Kontrollen bieten eine umfassende Verteidigung gegen nicht vertrauenswürdige Netzwerke und können in Betracht gezogen werden, um die Sicherheitslage zu verbessern:

• Verwenden Sie private GKE-Knoten, damit Ihre Knoten nur private IP-Adressen erhalten.
• Verwenden Sie nach Möglichkeit explizite DENY-Firewallrichtlinien.
• Verwenden Sie hierarchische Firewallrichtlinien, um Firewallkonfigurationen auf VPC-Ebene zu überschreiben.
• Verwenden Sie Cloud Service Mesh, um Authentifizierung und Autorisierung bereitzustellen.
• Verwenden Sie die Authentifizierung und Autorisierung in der Anwendung.
• Verwenden Sie den Organisationsrichtliniendienst, um Firewallregeln zu blockieren, die den gesamten Traffic zulassen. Erstellen Sie dazu eine Einschränkung zum Ablehnen aller Firewallregeln für Traffic und wenden Sie sie mit einer Richtlinie an.

Wir empfehlen, Konfigurationen und Logs zu prüfen, um alle Anwendungen oder Dienste zu ermitteln, die im oben genannten Zeitraum offengelegt wurden, obwohl sie nicht hätten offengelegt werden dürfen. Mit den folgenden Tools können Sie den eingehenden Traffic zu Ihren Ressourcen prüfen, die in Google Cloudausgeführt werden:

• VPC-Flusslogs für Informationen zum Netzwerkdurchsatz und zur Netzwerkleistung
• Cloud Logging zum Suchen und Analysieren von Logging-Daten und -Ereignissen aus Google Cloud -Diensten und -Anwendungen, die für das Senden von Logs konfiguriert sind
• Logging von Firewallregeln, um die Auswirkungen Ihrer Firewallregeln zu prüfen, zu analysieren und im Blick zu behalten
• Security Command Center für Einblicke in Sicherheitsergebnisse, die auf verdächtige Netzwerkaktivitäten hinweisen
• Ihre Anwendungslogs

Es wurde ein Sicherheitsproblem entdeckt, das sich auf das Multi-Cluster-Gateway (MCG) auswirkt. MCG ist eine GKE-Funktion, mit der Kunden den Traffic auf mehrere Cluster verteilen können.

GDC-Cluster (VMware) unterstützen MCG nicht und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Es wurde ein Sicherheitsproblem entdeckt, das sich auf das Multi-Cluster-Gateway (MCG) auswirkt. MCG ist eine GKE-Funktion, mit der Kunden den Traffic auf mehrere Cluster verteilen können.

GKE on AWS-Cluster unterstützen keine MCGs und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Es wurde ein Sicherheitsproblem entdeckt, das sich auf das Multi-Cluster-Gateway (MCG) auswirkt. MCG ist eine GKE-Funktion, mit der Kunden den Traffic auf mehrere Cluster verteilen können.

GKE on Azure-Cluster unterstützen keine MCGs und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Es wurde ein Sicherheitsproblem entdeckt, das sich auf das Multi-Cluster-Gateway (MCG) auswirkt. MCG ist eine GKE-Funktion, mit der Kunden den Traffic auf mehrere Cluster verteilen können.

GDC-Cluster (Bare Metal) unterstützen MCG nicht und sind nicht betroffen.

Wie gehe ich am besten vor?

Es sind keine weiteren Schritte erforderlich.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 12.12.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.28.15-gke.1342000
• 1.29.10-gke.1280000
• 1.30.6-gke.1596000
• 1.31.3-gke.1023000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.1576000
• 1.28.14-gke.1217000
• 1.29.9-gke.1496000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

Wie gehe ich am besten vor?

Aktualisierung vom 22.01.2025: Die folgenden Versionen von GDC (VMware) wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Cluster (VMware) auf die folgenden Versionen oder höher durch:

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-46800

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Ein Sicherheitsproblem in Kubernetes-Clustern kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository böswillig erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Führen Sie ein Upgrade Ihres GKE-Cluster und Ihrer Knotenpools auf eine gepatchte Version durch. Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihrer Cluster und Knotenpools auf eine gepatchte GKE-Version durchzuführen. Mit Release-Versionen in GKE können Sie Patches anwenden, ohne sich abmelden oder die Release-Version ändern zu müssen. So können Sie Ihren Cluster und Ihre Knoten sichern, bevor die neue Version im ausgewählten Release-Channel zur Standardversion wird.

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2024-10220 ermöglicht es einem Angreifer, einen Pod zu erstellen und ein gitRepo-Volume zu verknüpfen, um beliebige Befehle außerhalb der Containergrenze auszuführen.

Ein Sicherheitsproblem in Kubernetes-Clustern kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository böswillig erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Ein Sicherheitsproblem in Kubernetes-Clustern kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository böswillig erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Ein Sicherheitsproblem in Kubernetes-Clustern kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository böswillig erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Ein Sicherheitsproblem in Kubernetes-Clustern kann zur Ausführung von Remote-Code über ein gitRepo-Volume führen. Wenn das Git-Repository böswillig erstellt wurde, kann ein Nutzer, der einen Pod erstellen und ein gitRepo-Volume zuordnen kann, beliebige Befehle außerhalb der Containergrenze ausführen.

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19.11.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1784000
• 1.28.15-gke.1080000
• 1.29.10-gke.1155000
• 1.30.6-gke.1059000
• 1.31.2-gke.1354000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.1478000
• 1.28.14-gke.1099000
• 1.29.9-gke.1177000
• 1.30.5-gke.1145000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

Wie gehe ich am besten vor?

Aktualisierung vom 15.10.2024: Die folgenden Versionen von GDC (VMware) wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Cluster (VMware) auf die folgenden Versionen oder höher durch:

• 1.30.100-gke.96
• 1.29.600-gke.109
• 1.28.1000-gke.59

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Kette von Sicherheitslücken (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Remotecodeausführung führen könnte. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung zu ihm herstellen können.

GKE verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Kette von Sicherheitslücken (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Remotecodeausführung führen könnte. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung zu diesem Port hergestellt werden kann.

Die GDC-Software für VMware verwendet das CUPS-Drucksystem nicht und ist daher nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Kette von Sicherheitslücken (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Remotecodeausführung führen könnte. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung zu diesem Port hergestellt werden kann.

GKE on AWS verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Kette von Sicherheitslücken (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Remotecodeausführung führen könnte. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung zu diesem Port hergestellt werden kann.

GKE on Azure verwendet das CUPS-Drucksystem nicht und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

Im CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Kette von Sicherheitslücken (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) entdeckt, die zur Remotecodeausführung führen könnte. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste den UDP-Port 631 überwachen und eine Verbindung zu diesem Port hergestellt werden kann.

Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users möglicherweise Containerlogs lesen und AUTHORITY\Authenticated-Nutzer Containerlogs ändern können.

Alle Kubernetes-Umgebungen mit Windows-Knoten sind betroffen. Führen Sie kubectl get nodes -l kubernetes.io/os=windows aus, um zu prüfen, ob Windows-Knoten verwendet werden.

Betroffene GKE-Versionen

• 1.27.15 und früher
• 1.28.11 und früher
• 1.29.6 und früher
• 1.30.2 und früher

Wie gehe ich am besten vor?

Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Aus Sicherheitsgründen empfehlen wir, auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, ein manuelles Upgrade Ihres Clusters und Ihrer Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion wie in der eigenen Release-Version ausgeführt wird. Mit dieser Funktion können Sie Ihre Knoten sichern, bis die Patchversion in Ihrer Release-Version zur Standardversion wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Welche Sicherheitslücken werden behoben?

CVE-2024-5321

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users möglicherweise Containerlogs lesen und AUTHORITY\Authenticated-Nutzer Containerlogs ändern können.

Alle Kubernetes-Umgebungen mit Windows-Knoten sind betroffen. Führen Sie kubectl get nodes -l kubernetes.io/os=windows aus, um zu prüfen, ob Windows-Knoten verwendet werden.

Wie gehe ich am besten vor?

Patchversionen für die GDC-Software für VMware sind in Arbeit. Wir aktualisieren dieses Bulletin, sobald diese Informationen verfügbar sind.

Welche Sicherheitslücken werden behoben?

CVE-2024-5321

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users möglicherweise Containerlogs lesen und AUTHORITY\Authenticated-Nutzer Containerlogs ändern können.

GKE on AWS-Cluster unterstützen keine Windows-Knoten und sind nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users möglicherweise Containerlogs lesen und AUTHORITY\Authenticated-Nutzer Containerlogs ändern können.

GKE on Azure-Cluster unterstützen keine Windows-Knoten und sind nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, bei dem BUILTIN\Users möglicherweise Containerlogs lesen und AUTHORITY\Authenticated-Nutzer Containerlogs ändern können.

GDC-Software für Bare-Metal-Cluster unterstützt keine Windows-Knoten und ist nicht betroffen.

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer kann diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell entwickelte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GKE unterstützt IPv6 unter Windows nicht und ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer kann diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell entwickelte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

Die GDC-Software für VMware unterstützt IPv6 unter Windows nicht und ist von dieser CVE nicht betroffen. Sie müssen nichts weiter tun.

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer kann diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell entwickelte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GKE on AWS ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer kann diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell entwickelte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GKE on Azure ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer kann diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell entwickelte IPv6-Pakete an einen Host sendet.

Wie gehe ich am besten vor?

GDC (Bare Metal) ist von diesem CVE nicht betroffen. Sie müssen nichts weiter tun.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 01.11.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

Wie gehe ich am besten vor?

Aktualisierung vom 21.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.28.1100-gke.91
• 1.30.200-gke.101
• 1.29.600-gke.109

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 30.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

Wie gehe ich am besten vor?

Aktualisierung vom 25.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.29.700-gke.110
• 1.28.1100-gke.91
• 1.30.200-gke.101

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 30.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

Wie gehe ich am besten vor?

Aktualisierung vom 21.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 21.08.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

Wie gehe ich am besten vor?

Aktualisierung vom 19.09.2024: Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.29.400
• 1.28.900

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 30.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

Wie gehe ich am besten vor?

Aktualisierung vom 21.10.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 02.10.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1287000
• 1.28.13-gke.1042000
• 1.29.8-gke.1096000
• 1.30.4-gke.1476000
• 1.30.4-gke.1476000
• 1.31.0-gke.1577000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

Wie gehe ich am besten vor?

Aktualisierung vom 20.09.2024: Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.30.200
• 1.29.500
• 1.28.1000

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Aktualisierung vom 18.07.2024 : In der ursprünglichen Version dieses Bulletins wurde fälschlicherweise angegeben, dass Autopilot-Cluster betroffen sind. Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder die CAP_NET_ADMIN-Funktion zulassen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19.07.2024: Die folgenden GKE-Versionen enthalten Code, mit dem diese Sicherheitslücke unter Ubuntu behoben wird. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Aktualisierung vom 16.09.2024: Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.29.200
• 1.28.700
• 1.16.11

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Aktualisierung vom 3. Juli 2024 : Der beschleunigte Roll-out ist in vollem Gange. Es wird erwartet, dass neue Patchversionen bis zum 3. Juli 2024 um 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7) in allen Zonen verfügbar sein werden. Wenn Sie eine Benachrichtigung erhalten möchten, sobald ein Patch für Ihren Cluster verfügbar ist, verwenden Sie Clusterbenachrichtigungen.

Update vom 02.07.2024 : Diese Sicherheitslücke betrifft sowohl Autopilot- als auch Standardcluster. In jedem der folgenden Abschnitte wird angegeben, auf welche Modi er sich bezieht.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Wir kennen keine Ausbeutungsversuche.

Auf allen unterstützten Versionen von Container-Optimized OS- und Ubuntu-Images in GKE werden OpenSSH-Versionen ausgeführt, die für dieses Problem anfällig sind.

GKE-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden.

Die GKE-Steuerungsebene ist nicht von diesem Problem betroffen.

Wie gehe ich am besten vor?

03.07.2024 – Update: Patchversionen für GKE

Die Einführung wird beschleunigt und neue Patchversionen sollten bis zum 3. Juli 2024 um 17:00 Uhr US and Canadian Pacific Daylight Time (UTC-7) in allen Zonen verfügbar sein.

Cluster und Knoten, für die automatische Upgrades aktiviert sind, werden im Laufe der Woche aktualisiert. Aufgrund des Schweregrads der Sicherheitslücke empfehlen wir jedoch, die Upgrades manuell durchzuführen, um die Patches so schnell wie möglich zu erhalten.

Sowohl für Autopilot- als auch für Standardcluster gilt: Aktualisieren Sie die Steuerungsebene auf eine gepatchte Version. Außerdem müssen Sie für Cluster im Standardmodus ein Upgrade Ihrer Knotenpools auf eine Patchversion durchführen. In Autopilot-Clustern werden Ihre Knoten so bald wie möglich auf die Version der Steuerungsebene aktualisiert.

Für jede unterstützte Version sind gepatchte GKE-Versionen verfügbar, um die für die Anwendung des Patches erforderlichen Änderungen zu minimieren. Die Versionsnummer jeder neuen Version ist eine Erhöhung der letzten Ziffer in der Versionsnummer einer entsprechenden vorhandenen Version. Wenn Sie beispielsweise Version 1.27.14-gke.1100000 verwenden, führen Sie ein Upgrade auf Version 1.27.14-gke.1100002 durch, um den Fix mit der geringstmöglichen Änderung zu erhalten. Die folgenden gepatchten GKE-Versionen sind verfügbar:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Führen Sie den folgenden Befehl aus, um zu prüfen, ob ein Patch in Ihrer Clusterzone oder -region verfügbar ist:

gcloud container get-server-config --location=LOCATION

Ersetzen Sie LOCATION durch Ihre Zone oder Region.

Aktualisierung vom 02.07.2024 : Sowohl Autopilot- als auch Standardcluster sollten so bald wie möglich nach Verfügbarkeit von Patch-Versionen aktualisiert werden.

Eine gepatchte GKE-Version, die ein aktualisiertes OpenSSH enthält, wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, wenn Patches verfügbar sind. Wenn Sie eine Pub/Sub-Benachrichtigung erhalten möchten, wenn ein Patch für Ihren Channel verfügbar ist, aktivieren Sie Clusterbenachrichtigungen. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihres Clusters zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden.

Prüfen, ob Ihre Knoten öffentliche IP-Adressen haben

Aktualisierung vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot- als auch für Standardcluster.

Wenn ein Cluster mit enable-private-nodes erstellt wird, sind die Knoten privat, was die Sicherheitslücke verringert, da sie nicht dem Internet ausgesetzt sind. Führen Sie den folgenden Befehl aus, um festzustellen, ob in Ihrem Cluster private Knoten aktiviert sind:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Wenn der Rückgabewert „True“ ist, sind alle Knoten private Knoten für diesen Cluster und die Sicherheitslücke wurde behoben. Wenn der Wert leer oder falsch ist, fahren Sie mit einer der Maßnahmen in den folgenden Abschnitten fort.

Wenn Sie alle Cluster finden möchten, die ursprünglich mit öffentlichen Knoten erstellt wurden, verwenden Sie diese Cloud Asset Inventory-Abfrage im Projekt oder in der Organisation:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Aktualisierung vom 02.07.2024 : Dieser Abschnitt gilt sowohl für Autopilot- als auch für Standardcluster.

Das Standardnetzwerk enthält bereits eine default-allow-ssh-Firewallregel, die den SSH-Zugriff aus dem öffentlichen Internet zulässt. So entfernen Sie diesen Zugriff:

• Optional können Sie Regeln erstellen, um den erforderlichen SSH-Zugriff von vertrauenswürdigen Netzwerken auf GKE-Knoten oder andere Compute Engine-VMs im Projekt zuzulassen.
• Deaktivieren Sie die Standard-Firewallregel mit dem folgenden Befehl:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Wenn Sie andere Firewallregeln erstellt haben, die möglicherweise SSH über TCP auf Port 22 zulassen, deaktivieren Sie sie oder beschränken Sie die Quell-IPs auf vertrauenswürdige Netzwerke.

Prüfen Sie, ob Sie keine SSH-Verbindung zu den Clusterknoten mehr über das Internet herstellen können. Diese Firewallkonfiguration mindert die Sicherheitslücke.

Öffentliche Knotenpools in private umwandeln

Update vom 02.07.2024 : Bei Autopilot-Clustern, die ursprünglich als öffentliche Cluster erstellt wurden, können Sie Ihre Arbeitslasten mit nodeSelectors auf privaten Knoten platzieren. Autopilot-Knoten, auf denen Systemarbeitslasten in Clustern ausgeführt werden, die ursprünglich als öffentliche Cluster erstellt wurden, sind jedoch weiterhin öffentliche Knoten und sollten durch die im vorherigen Abschnitt beschriebenen Firewalländerungen geschützt werden.

Um Cluster, die ursprünglich mit öffentlichen Knoten erstellt wurden, bestmöglich zu schützen, empfehlen wir, SSH zuerst über die Firewall zu deaktivieren, wie bereits beschrieben. Wenn Sie SSH nicht über die Firewallregeln deaktivieren können, können Sie öffentliche Knotenpools in GKE-Standardclustern in private Knotenpools umwandeln. Folgen Sie dazu dieser Anleitung zum Isolieren von Knotenpools.

SSHD-Konfiguration ändern

Aktualisierung vom 02.07.2024 : Dieser Abschnitt gilt nur für Standardcluster. Autopilot-Arbeitslasten dürfen die Knotenkonfiguration nicht ändern.

Wenn keine dieser Maßnahmen angewendet werden kann, haben wir auch ein DaemonSet veröffentlicht, das SSHD LoginGraceTime auf null setzt und den SSH-Daemon neu startet. Dieses DaemonSet kann auf den Cluster angewendet werden, um den Angriff zu minimieren. Diese Konfiguration kann das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit dem legitimen SSH-Zugriff verursachen. Dieses DaemonSet sollte nach dem Anwenden eines Patches entfernt werden.

Aktualisierung vom 11. Juli 2024: Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Administrator-Workstation, Administratorcluster und Nutzercluster (einschließlich Knotenpools) auf eine der folgenden Versionen oder höher durch. Eine Anleitung finden Sie unter Cluster oder Knotenpool upgraden.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

Im Update vom 02.07.2024 für dieses Bulletin wurde fälschlicherweise angegeben, dass auf allen unterstützten Versionen von Ubuntu-Images in der GDC-Software für VMware Versionen von OpenSSH ausgeführt werden, die für dieses Problem anfällig sind. Auf Ubuntu-Images in der GDC-Software für VMware-Version 1.16-Clustern werden Versionen von OpenSSH ausgeführt, die nicht anfällig für dieses Problem sind. Ubuntu-Images in der GDC-Software für VMware 1.28 und 1.29 sind anfällig. Container-Optimized OS-Images in allen unterstützten Versionen der GDC-Software für VMware sind von diesem Problem betroffen.

Aktualisierung vom 2. Juli 2024 : Auf allen unterstützten Versionen von Container-Optimized OS- und Ubuntu-Images in der GDC-Software für VMware werden Versionen von OpenSSH ausgeführt, die für dieses Problem anfällig sind.

GDC-Software für VMware-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollte zur Risikominderung mit der höchsten Priorität behandelt werden.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Wir kennen keine Ausbeutungsversuche.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024: Eine gepatchte GDC-Software für VMware-Version, die ein aktualisiertes OpenSSH enthält, wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, wenn Patches verfügbar sind. Wir empfehlen, die folgenden Maßnahmen zur Risikominderung nach Bedarf anzuwenden.

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Sie können die Netzwerkeinrichtung Ihrer Infrastruktur so ändern, dass keine SSH-Verbindungen von nicht vertrauenswürdigen Quellen wie dem öffentlichen Internet zugelassen werden.

SSHD-Konfiguration ändern

Wenn Sie die oben genannte Maßnahme nicht anwenden können, haben wir ein DaemonSet veröffentlicht, das LoginGraceTime für sshd auf null setzt und den SSH-Daemon neu startet. Dieses DaemonSet kann auf den Cluster angewendet werden, um den Angriff zu minimieren. Diese Konfiguration kann das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit dem legitimen SSH-Zugriff verursachen. Entfernen Sie dieses DaemonSet, nachdem ein Patch angewendet wurde.

Aktualisierung vom 11.07.2024: Die folgenden Versionen von GKE on AWS wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Führen Sie ein Upgrade Ihrer GKE on AWS-Steuerungsebene und Knotenpools auf eine dieser Patchversionen oder höher durch. Eine Anleitung finden Sie unter AWS-Clusterversion upgraden und Knotenpool aktualisieren.

Aktualisierung vom 02.07.2024 : Auf allen unterstützten Versionen von Ubuntu-Images in GKE on AWS werden Versionen von OpenSSH ausgeführt, die für dieses Problem anfällig sind.

GKE on AWS-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Wir kennen keine Ausbeutungsversuche.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Eine gepatchte GKE on AWS-Version, die ein aktualisiertes OpenSSH enthält, wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, wenn Patches verfügbar sind. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihres Clusters zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden.

Prüfen, ob Ihre Knoten öffentliche IP-Adressen haben

GKE on AWS stellt keine Maschine mit öffentlichen IP-Adressen oder mit Firewallregeln bereit, die standardmäßig Traffic zu Port 22 zulassen. Je nach Subnetzkonfiguration können Maschinen jedoch während der Bereitstellung automatisch eine öffentliche IP-Adresse erhalten.

Wenn Sie prüfen möchten, ob Knoten mit öffentlichen IP-Adressen bereitgestellt werden, sehen Sie sich die Konfiguration des Subnetzes an, das Ihrer AWS-Knotenpoolressource zugeordnet ist.

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Auch wenn GKE on AWS standardmäßig keinen Traffic auf Port 22 auf einem Knoten zulässt, können Kunden Knotenpools zusätzliche Sicherheitsgruppen zuweisen, um eingehenden SSH-Traffic zu ermöglichen.

Wir empfehlen, die entsprechenden Regeln aus den bereitgestellten Sicherheitsgruppen zu entfernen oder einzuschränken.

Öffentliche Knotenpools in private umwandeln

Um Cluster mit öffentlichen Knoten optimal zu schützen, empfehlen wir, SSH zuerst über Ihre Sicherheitsgruppe zu deaktivieren, wie im vorherigen Abschnitt beschrieben. Wenn Sie SSH nicht über die Regeln der Sicherheitsgruppe deaktivieren können, können Sie öffentliche Knotenpools in private umwandeln, indem Sie die Option zum automatischen Zuweisen öffentlicher IP-Adressen zu Maschinen in einem Subnetz deaktivieren und den Knotenpool neu bereitstellen.

Aktualisierung vom 11.07.2024: Die folgenden Versionen von GKE on Azure wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Aktualisieren Sie Ihre GKE on Azure-Steuerungsebene und Knotenpools auf eine dieser Patchversionen oder höher. Eine Anleitung finden Sie unter Upgrade der Azure-Clusterversion ausführen und Knotenpool aktualisieren.

Aktualisierung vom 02.07.2024 : Auf allen unterstützten Versionen von Ubuntu-Images in GKE on Azure werden Versionen von OpenSSH ausgeführt, die für dieses Problem anfällig sind.

GKE on Azure-Cluster mit öffentlichen Knoten-IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Wir kennen keine Ausbeutungsversuche.

Wie gehe ich am besten vor?

Aktualisierung vom 02.07.2024 : Eine gepatchte GKE on Azure-Version, die ein aktualisiertes OpenSSH enthält, wird so bald wie möglich zur Verfügung gestellt. Dieses Bulletin wird aktualisiert, wenn Patches verfügbar sind. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihres Clusters zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden.

Prüfen, ob Ihre Knoten öffentliche IP-Adressen haben

Bei GKE on Azure wird keine Maschine mit öffentlichen IP-Adressen oder mit Firewallregeln bereitgestellt, die Traffic zu Port 22 standardmäßig zulassen. Führen Sie den folgenden Befehl aus, um Ihre Azure-Konfiguration zu prüfen und festzustellen, ob in Ihrem GKE on Azure-Cluster öffentliche IP-Adressen konfiguriert sind:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

SSH-Verbindungen zu den Clusterknoten nicht zulassen

Auch wenn GKE on Azure standardmäßig keinen Traffic über Port 22 auf einem Knoten zulässt, können Kunden NetworkSecurityGroup-Regeln für Knotenpools aktualisieren, um eingehenden SSH-Traffic aus dem öffentlichen Internet zu ermöglichen.

Wir empfehlen dringend, die Netzwerksicherheitsgruppen (NSGs) zu überprüfen, die Ihren Kubernetes-Clustern zugeordnet sind. Wenn eine NSG-Regel vorhanden ist, die uneingeschränkten eingehenden Traffic an Port 22 (SSH) zulässt, führen Sie einen der folgenden Schritte aus:

• Regel vollständig entfernen: Wenn kein SSH-Zugriff auf die Clusterknoten über das Internet erforderlich ist, entfernen Sie die Regel, um potenzielle Angriffsvektoren zu eliminieren.
• Regel eingrenzen: Beschränken Sie den eingehenden Zugriff auf Port 22 auf die spezifischen IP-Adressen oder ‑Bereiche, die ihn benötigen. So wird die Angriffsfläche für potenzielle Angriffe minimiert.

Öffentliche Knotenpools in private umwandeln

Um Cluster mit öffentlichen Knoten optimal zu schützen, empfehlen wir, SSH zuerst über Ihre Sicherheitsgruppe zu deaktivieren, wie im vorherigen Abschnitt beschrieben. Wenn Sie SSH nicht über die Sicherheitsgruppenregeln deaktivieren können, können Sie öffentliche Knotenpools in private umwandeln, indem Sie die öffentlichen IP-Adressen entfernen, die den VMs zugeordnet sind.

Informationen zum Entfernen einer öffentlichen IP-Adresse aus einer VM und zum Ersetzen durch eine private IP-Adresskonfiguration finden Sie unter Verknüpfung einer öffentlichen IP-Adresse mit einer Azure-VM aufheben.

Auswirkungen : Alle bestehenden Verbindungen über die öffentliche IP-Adresse werden unterbrochen. Achten Sie darauf, dass Sie alternative Zugriffsmethoden wie ein VPN oder Azure Bastion eingerichtet haben.

Aktualisierung vom 02.07.2024: In der ursprünglichen Version dieses Bulletins für GDC-Software für Bare Metal wurde fälschlicherweise angegeben, dass Patchversionen in Arbeit seien. Die GDC-Software für Bare Metal ist nicht direkt betroffen, da sie den SSH-Daemon oder die Konfiguration des Betriebssystems nicht verwaltet. Patch-Versionen fallen daher in die Verantwortung des Betriebssystemanbieters, wie im Abschnitt Was kann ich tun? beschrieben.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell erhalten werden kann, sodass Angreifer Root-Zugriff auf GKE-Knoten erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Wir kennen keine Ausbeutungsversuche.

Wie gehe ich am besten vor?

02.07.2024 – Update: Wenden Sie sich an Ihren Betriebssystemanbieter, um einen Patch für die Betriebssysteme zu erhalten, die mit der GDC-Software für Bare Metal verwendet werden.

Bis Sie den Patch des Betriebssystemanbieters angewendet haben, sollten Sie dafür sorgen, dass öffentlich erreichbare Computer keine SSH-Verbindungen aus dem Internet zulassen. Wenn das nicht möglich ist, können Sie alternativ LoginGraceTime auf null setzen und den sshd-Server neu starten:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Beachten Sie, dass diese Konfigurationsänderung das Risiko von Denial-of-Service-Angriffen erhöhen und Probleme mit dem legitimen SSH-Zugriff verursachen kann.

Originaltext vom 01.07.2024 (eine Korrektur finden Sie im vorherigen Update vom 02.07.2024):

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 20.08.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

Wie gehe ich am besten vor?

Aktualisierung vom 25.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.29.400
• 1.28.900

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 06.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

Wie gehe ich am besten vor?

Aktualisierung vom 17.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.29.400
• 1.28.800
• 1.16.11

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. Die GDC-Software für Bare Metal ist nicht betroffen, da sie kein Betriebssystem in der Distribution bündelt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18.07.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgende GKE-Version wurde mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu schließen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf die folgende Patchversion oder höher:

• 1.27.15-gke.1125000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Die folgenden Nebenversionen sind betroffen, aber es ist keine Patchversion verfügbar. Wir aktualisieren dieses Bulletin, sobald Patchversionen verfügbar sind:

• 1,26
• 1,27

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 10.07.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher durch:

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Für die Nebenversionen 1.26 und 1.27 müssen Sie ein Upgrade Ihrer Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher durchführen:

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Aktualisierung vom 26.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.28.900-gke.113
• 1.29.400-gke.8

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind Fluent Bit-Versionen 2.0.7 bis 3.0.3.

GKE verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind Fluent Bit-Versionen 2.0.7 bis 3.0.3.

GKE on VMware verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on VMware ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind Fluent Bit-Versionen 2.0.7 bis 3.0.3.

GKE on AWS verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on AWS ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind Fluent Bit-Versionen 2.0.7 bis 3.0.3.

GKE on Azure verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on Azure ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind Fluent Bit-Versionen 2.0.7 bis 3.0.3.

GKE on Bare Metal verwendet keine anfällige Version von Fluent Bit und ist nicht betroffen.

Wie gehe ich am besten vor?

GKE on Bare Metal ist von dieser Sicherheitslücke nicht betroffen. Sie müssen nichts weiter tun.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18.07.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 19.08.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 22.05.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Aktualisierung vom 09.05.2024: Der Schweregrad wurde von „Mittel“ auf „Hoch“ korrigiert. Im ursprünglichen Bulletin wurde angegeben, dass Autopilot-Cluster betroffen sind. Das war jedoch nicht richtig. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil „Unconfined“ explizit festlegen oder CAP_NET_ADMIN zulassen.

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 15.05.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Aktualisierung vom 25.09.2024:Die folgenden Versionen der GDC-Software für VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu beheben. Führen Sie ein Upgrade Ihrer GDC-Software für VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.28.600
• 1.16.9

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Update vom 09.05.2024:Der Schweregrad wurde von „Mittel“ auf „Hoch“ korrigiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 06.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu schließen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf die folgenden Versionen oder höher:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

GKE Standard- und Autopilot-Cluster sind betroffen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 18.07.2024: Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke unter Ubuntu zu beheben. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Google Kubernetes Engine-Steuerungsebene (GKE) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken sind durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen.

GKE Autopilot- und Standard-Cluster sind betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 24.04.2024:Patchversionen für GKE wurden hinzugefügt.

Die folgenden Versionen von GKE enthalten die Golang-Sicherheitspatches, mit denen diese Sicherheitslücke behoben wird. Aktualisieren Sie Ihre GKE-Cluster auf die folgenden Versionen oder höher:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE-Versionen verfügbar sind, in denen diese Patches enthalten sind. Wenn Sie einen Patch in einem beschleunigten Zeitrahmen anfordern möchten, wenden Sie sich an den Support.

Sie können das Risiko minimieren, indem Sie autorisierte Netzwerke für den Zugriff auf die Steuerungsebene konfigurieren:

Sie können Ihre Cluster vor dieser Art von Angriffen schützen, indem Sie autorisierte Netzwerke konfigurieren. Folgen Sie der Anleitung zum Aktivieren autorisierter Netzwerke für einen vorhandenen Cluster.

Weitere Informationen dazu, wie autorisierte Netzwerke den Zugriff auf die Steuerungsebene steuern, finden Sie unter Funktionsweise autorisierter Netzwerke. Die standardmäßigen autorisierten Netzwerkzugriffe finden Sie in der Tabelle im Abschnitt Zugriff auf Endpunkte der Steuerungsebene.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke (CVE-2023-45288) ermöglicht es einem Angreifer, einen DoS-Angriff auf die Kubernetes-Steuerungsebene auszuführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Google Kubernetes Engine-Steuerungsebene (GKE) führen.

Wie gehe ich am besten vor?

Aktualisierung vom 17.07.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Die folgenden Versionen von GKE on VMware enthalten Code, mit dem diese Sicherheitslücke behoben wird. Führen Sie ein Upgrade Ihrer GKE on VMware-Cluster auf die folgenden Versionen oder höher durch:

• 1.29.0
• 1.28.500
• 1.16.8

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on VMware-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie einen Patch in einem beschleunigten Zeitrahmen anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke (CVE-2023-45288) ermöglicht es einem Angreifer, einen DoS-Angriff auf die Kubernetes-Steuerungsebene auszuführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Google Kubernetes Engine-Steuerungsebene (GKE) führen.

Wie gehe ich am besten vor?

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on AWS-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie einen Patch in einem beschleunigten Zeitrahmen anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke (CVE-2023-45288) ermöglicht es einem Angreifer, einen DoS-Angriff auf die Kubernetes-Steuerungsebene auszuführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Google Kubernetes Engine-Steuerungsebene (GKE) führen.

Wie gehe ich am besten vor?

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on Azure-Versionen verfügbar sind, die diese Patches enthalten. Wenn Sie einen Patch in einem beschleunigten Zeitrahmen anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke (CVE-2023-45288) ermöglicht es einem Angreifer, einen DoS-Angriff auf die Kubernetes-Steuerungsebene auszuführen.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der Google Kubernetes Engine-Steuerungsebene (GKE) führen.

Wie gehe ich am besten vor?

Aktualisierung vom 09.07.2024:Patchversionen für GKE on Bare Metal wurden hinzugefügt.

Die folgenden Versionen von GKE on Bare Metal enthalten Code, mit dem diese Sicherheitslücke behoben wird. Aktualisieren Sie Ihre GKE on Bare Metal-Cluster auf die folgenden Versionen oder höher:

• 1.29.100
• 1.28.600
• 1.16.9

Das golang-Projekt hat am 3. April 2024 Patches veröffentlicht. Wir aktualisieren dieses Bulletin, sobald GKE on Bare Metal-Versionen verfügbar sind, in denen diese Patches enthalten sind. Wenn Sie einen Patch in einem beschleunigten Zeitrahmen anfordern möchten, wenden Sie sich an den Support.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Die Sicherheitslücke (CVE-2023-45288) ermöglicht es einem Angreifer, einen DoS-Angriff auf die Kubernetes-Steuerungsebene auszuführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Aktualisierung vom 06.05.2024:Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Ubuntu zu beheben. Führen Sie ein Upgrade Ihrer Ubuntu-Knotenpools auf die folgenden Versionen oder höher durch.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Update vom 04.04.2024:Die Mindestversionen für GKE Container-Optimized OS-Knotenpools wurden korrigiert.

Die minimalen GKE-Versionen, die die zuvor aufgeführten Container-Optimized OS-Korrekturen enthalten, waren falsch. Die folgenden GKE-Versionen wurden mit Code aktualisiert, um diese Sicherheitslücke in Container-Optimized OS zu schließen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf die folgenden Versionen oder höher:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

GKE-Standardcluster sind betroffen. GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen, können aber anfällig sein, wenn Sie das seccomp-Profil Unconfined explizit festlegen oder CAP_NET_ADMIN zulassen.

Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Wie gehe ich am besten vor?

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Container-Optimized OS-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Die folgenden Nebenversionen sind betroffen. Aktualisieren Sie Ihre Ubuntu-Knotenpools auf eine der folgenden Patchversionen oder höher:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Aktualisierung vom 17.04.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Die folgenden Versionen von GKE on VMware wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Aktualisieren Sie Ihre Cluster auf die folgenden Versionen oder höher:

• 1.28.200
• 1.16.6
• 1.15.10

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Wie gehe ich am besten vor?

Sie müssen nichts unternehmen. GKE on Bare Metal ist nicht betroffen, da es in seiner Distribution kein Betriebssystem enthält.

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und persistenten Volumes auf Windows-Knoten so zu erstellen, dass eine Eskalierung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE Standard-Cluster mit Windows Server-Knoten, die ein In-Tree-Speicher-Plug-in verwenden, sind möglicherweise betroffen.

GKE Autopilot-Cluster und GKE-Knotenpools, die GKE Sandbox verwenden, sind nicht betroffen, da sie keine Windows Server-Knoten unterstützen.

Wie gehe ich am besten vor?

So ermitteln Sie, ob Sie Windows Server-Knoten in Ihren Clustern verwenden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie die Audit-Logs auf Anzeichen für eine Ausnutzung. Kubernetes-Audit-Logs können geprüft werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wird. Ereignisse zum Erstellen nichtflüchtiger Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starkes Indiz für eine Ausnutzung.

Aktualisieren Sie Ihren GKE-Cluster und Ihre Knotenpools auf eine gepatchte Version. Die folgenden GKE-Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, empfehlen wir, ein manuelles Upgrade Ihres Clusters und Ihrer Windows Server-Knotenpools auf eine der folgenden GKE-Versionen oder höher durchzuführen:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Sie können Patch-Versionen aus neueren Release-Versionen anwenden, wenn in Ihrem Cluster dieselbe Nebenversion in der eigenen Release-Version ausgeführt wird. Auf diese Weise können Sie Ihre Knoten sichern, bis die Patchversion zur Standardversion in Ihrer Release-Version wird. Weitere Informationen finden Sie unter Patchversionen aus einem neueren Kanal ausführen.

Welche Sicherheitslücken werden mit diesem Patch behoben?

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und persistenten Volumes auf Windows-Knoten so zu erstellen, dass eine Eskalierung der Administratorberechtigungen auf diesen Knoten möglich ist.

CVE-2023-5528 ermöglicht es einem Angreifer, Pods und persistenten Volumes auf Windows-Knoten so zu erstellen, dass eine Eskalierung der Administratorberechtigungen auf diesen Knoten möglich ist.

GKE on VMware-Cluster mit Windows Server-Knoten, die ein In-Tree-Speicher-Plug-in verwenden, sind möglicherweise betroffen.

Wie gehe ich am besten vor?

So ermitteln Sie, ob Sie Windows Server-Knoten in Ihren Clustern verwenden:

kubectl get nodes -l kubernetes.io/os=windows

Prüfen Sie die Audit-Logs auf Anzeichen für eine Ausnutzung. Kubernetes-Audit-Logs können geprüft werden, um festzustellen, ob diese Sicherheitslücke ausgenutzt wird. Ereignisse zum Erstellen nichtflüchtiger Volumes mit lokalen Pfadfeldern, die Sonderzeichen enthalten, sind ein starkes Indiz für eine Ausnutzung.

Aktualisieren Sie Ihren GKE on VMware-Cluster und Ihre Knotenpools auf eine gepatchte Version. Die folgenden Versionen von GKE on VMware wurden aktualisiert, um diese Sicherheitslücke zu schließen. Auch wenn Sie die automatische Knotenaktualisierung aktiviert haben, empfehlen wir, ein manuelles Upgrade Ihres Clusters und Ihrer Windows Server-Knotenpools auf eine der folgenden GKE on VMware-Versionen oder höher durchzuführen:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41