Bulletins de sécurité

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38001

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.33.1-gke.1959000
• 1.30.12-gke.1279000
• 1.31.9-gke.1287000
• 1.28.15-gke.2428000
• 1.29.15-gke.1549000
• 1.32.4-gke.1698000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38001

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38001

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38001

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38001

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37997

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.28.15-gke.2403000
• 1.31.9-gke.1176000
• 1.30.12-gke.1246000
• 1.29.15-gke.1523000
• 1.33.1-gke.1545000
• 1.27.16-gke.2874000
• 1.32.4-gke.1603000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37997

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37997

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37997

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37997

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38000

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.33.1-gke.1545000
• 1.27.16-gke.2874000
• 1.32.4-gke.1603000
• 1.28.15-gke.2403000
• 1.30.12-gke.1246000
• 1.31.9-gke.1176000
• 1.29.15-gke.1523000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38000

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38000

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38000

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-38000

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Un problème de sécurité a été découvert, permettant aux pirates informatiques de contourner les restrictions d'isolation des charges de travail sur les clusters GKE. Seuls les clusters qui s'appuient sur l'isolation des nœuds pour séparer les charges de travail à l'intérieur d'un cluster sont concernés. Notez que l'isolation des nœuds ne doit jamais être utilisée comme limite de sécurité principale.

Pour exploiter cette faille, les pirates informatiques doivent d'abord accéder aux identifiants du client de nœud kubelet. L'accès à ces identifiants nécessite généralement des autorisations root sur l'hôte et l'accès au système de fichiers de l'hôte. Pour la plupart des systèmes, cela signifie que vous avez besoin à la fois d'une faille de sécurité de l'application pour accéder à la charge de travail et d'une faille de sécurité de échappement du conteneur pour accéder à l'hôte. Les pirates informatiques ayant accès à ces identifiants peuvent effectuer les actions suivantes :

• Les pirates informatiques peuvent réenregistrer le nœud avec le même nom, mais avec des valeurs différentes pour certains champs de l'objet Node. Plus précisément, un pirate informatique pourrait définir .spec.providerID pour qu'il pointe vers une autre instance du cluster, ce qui entraînerait la suppression de l'instance Compute Engine référencée par le plan de contrôle GKE.
• Les pirates informatiques peuvent également modifier .spec.taints pour affecter la planification des charges de travail. Lorsque vous implémentez l'isolation des nœuds en tant que contrôle de sécurité, vous devez utiliser des libellés et des sélecteurs de libellés avec le préfixe node-restriction.kubernetes.io/ pour empêcher les nœuds compromis de manipuler le comportement de planification.

Que dois-je faire ?

Pour résoudre ce problème, apportez les modifications suivantes :

Résolvez le problème d'ID de fournisseur en mettant à niveau vos clusters GKE vers une version corrigée. Les versions de GKE suivantes ou ultérieures ont été mises à jour pour résoudre le problème providerID :

• 1.33.1-gke.1386000
• 1.32.4-gke.1533000
• 1.31.9-gke.1119000
• 1.30.12-gke.1208000

Si vous ne pouvez pas effectuer la mise à niveau, vous pouvez éventuellement implémenter la règle d'admission de validation suivante sur votre cluster pour atténuer le problème providerID :

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicy
metadata:
  name: validate-node-providerid
spec:
  failurePolicy: Fail
  matchConstraints:
    resourceRules:
    - apiGroups:   [""]
      apiVersions: ["v1"]
      operations:  ["CREATE", "UPDATE"]
      resources:   ["nodes"]
  matchConditions:
  - name: "has-providerid"
    expression: "has(object.spec.providerID)"
  validations:
  - expression: "object.spec.providerID == '' || object.spec.providerID.endsWith('/' + object.metadata.name)"
    message: "node.spec.providerID must match the node name"
---
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicyBinding
metadata:
  name: validate-node-providerid-binding
spec:
  policyName: validate-node-providerid
  validationActions: [Deny]

Utilisez des libellés à accès limité aux nœuds lorsque vous isolez des charges de travail sur des nœuds spécifiques en tant que contrôle de sécurité.

Si vous utilisez des libellés pour isoler les nœuds, comme décrit dans la documentation Kubernetes, utilisez des libellés à accès limité aux nœuds (par exemple, des libellés de la forme node-restriction.kubernetes.io/example-constraint) dans les termes d'affinité de nœud et de sélecteur de nœud utilisés pour l'isolation des charges de travail.

Le contrôleur d'admission NodeRestriction empêche l'application de ces libellés aux identifiants de nœud Kubelet. Le contrôleur d'admission NodeRestriction est intégré à Kubernetes et activé sur tous les clusters GKE.

GKE limite le champ d'application des identifiants de nœud sur les nœuds nouvellement créés pour les nouveaux clusters

Pour renforcer davantage la sécurité, les nouveaux clusters à partir de la version 1.33.1-gke.1386000 de GKE limitent le champ d'application des identifiants de nœud sur les nœuds nouvellement créés. Les identifiants de nœud sont liés à l'instance Compute Engine initialement provisionnée pour le nœud. Une fois l'instance supprimée, les pirates informatiques ne peuvent plus utiliser ces identifiants compromis pour enregistrer le nœud avec des valeurs providerID ou des taints contrôlés par le pirate informatique. Vous pouvez créer un cluster avec la version 1.33.1-gke.1386000 ou ultérieure pour que les nœuds nouvellement créés bénéficient de ce renforcement supplémentaire.

Un problème de sécurité a été détecté, qui permettrait à des pirates informatiques de contourner les restrictions d'isolation des charges de travail sur les clusters GKE.

Que dois-je faire ?

Aucune action n'est requise. Ce problème est spécifique à la façon dont les nœuds GKE sont provisionnés et gérés sur Compute Engine. Il ne s'applique pas à GDC (VMware).

Un problème de sécurité a été détecté, permettant aux pirates informatiques de contourner les restrictions d'isolation des charges de travail sur les clusters GKE.

Que dois-je faire ?

GKE sur AWS

Aucune action n'est requise. Ce problème est spécifique à la façon dont les nœuds GKE sont provisionnés et gérés sur Compute Engine. Il ne s'applique pas à GKE sur AWS.

GKE sur AWS (génération précédente)

Aucune action n'est requise. Ce problème est spécifique à la façon dont les nœuds GKE sont provisionnés et gérés sur Compute Engine. Il ne s'applique pas à la génération précédente de GKE sur AWS.

Un problème de sécurité a été détecté, permettant aux pirates informatiques de contourner les restrictions d'isolation des charges de travail sur les clusters GKE.

Que dois-je faire ?

Aucune action n'est requise. Ce problème est spécifique à la façon dont les nœuds GKE sont provisionnés et gérés sur Compute Engine. Il ne s'applique pas à GKE sur Azure.

Un problème de sécurité a été détecté, permettant aux pirates informatiques de contourner les restrictions d'isolation des charges de travail sur les clusters GKE.

Que dois-je faire ?

Aucune action n'est requise. Ce problème est spécifique à la façon dont les nœuds GKE sont provisionnés et gérés sur Compute Engine. Il ne s'applique pas à GDC (Bare Metal).

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37798

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.29.15-gke.1415000
• 1.30.12-gke.1168000
• 1.31.9-gke.1044000
• 1.27.16-gke.2771000
• 1.28.15-gke.2303000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37798

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37798

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37798

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37798

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37797

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.32.4-gke.1415000
• 1.28.15-gke.2303000
• 1.27.16-gke.2820000
• 1.33.1-gke.1107000
• 1.29.15-gke.1415000
• 1.31.9-gke.1044000
• 1.30.12-gke.1168000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37797

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37797

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37797

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-37797

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21702

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 22/05/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu GKE vers les versions suivantes ou ultérieures :

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.29.15-gke.1193000
• 1.30.11-gke.1157000
• 1.31.7-gke.1265000
• 1.32.3-gke.1785000
• 1.28.15-gke.2072000
• 1.27.16-gke.2650000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21702

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21702

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21702

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21702

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21971

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 02/06/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu GKE vers les versions suivantes ou ultérieures :

• 1.27.16-gke.2820000
• 1.28.15-gke.2303000
• 1.29.15-gke.1415000
• 1.30.12-gke.1168000
• 1.31.9-gke.1044000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.28.15-gke.2142000
• 1.30.11-gke.1157000
• 1.31.7-gke.1265000
• 1.32.3-gke.1785000
• 1.29.15-gke.1193000
• 1.27.16-gke.2682000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21971

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21971

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21971

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21971

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-21701

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 22/05/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu GKE vers les versions suivantes ou ultérieures :

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.2440000
• 1.28.15-gke.1844000
• 1.29.14-gke.1018000
• 1.30.10-gke.1042000
• 1.31.6-gke.1020000
• 1.32.1-gke.1729000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-21701

Que dois-je faire ?

Mise à jour du 26/06/2025 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.32.0-gke.1087
• 1.31.300-gke.81
• 1.30.700-gke.56

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-21701

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-21701

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-21701

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-40364

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.2573000
• 1.28.15-gke.2003000
• 1.29.15-gke.1017000
• 1.30.10-gke.1227000
• 1.31.6-gke.1221000
• 1.32.2-gke.1652000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-40364

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-40364

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-40364

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2025-40364

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21756

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 22/05/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu GKE vers les versions suivantes ou ultérieures :

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.31.6-gke.1221000
• 1.30.11-gke.1093000
• 1.29.15-gke.1134000
• 1.27.16-gke.2650000
• 1.32.3-gke.1170000
• 1.28.15-gke.2097000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21756

Que dois-je faire ?

Mise à jour du 05/05/2025 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.31.400-gke.110
• 1.29.1300-gke.98

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21756

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21756

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21756

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-52927

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 22/05/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu GKE vers les versions suivantes ou ultérieures :

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.31.6-gke.1064000
• 1.28.15-gke.2097000
• 1.32.2-gke.1652000
• 1.27.16-gke.2650000
• 1.29.15-gke.1134000
• 1.30.11-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-52927

Que dois-je faire ?

Mise à jour du 29/04/2025 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.31.400-gke.110
• 1.30.800-gke.66

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-52927

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-52927

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2023-52927

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21700

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 22/05/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu GKE vers les versions suivantes ou ultérieures :

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.32.2-gke.1652000
• 1.28.15-gke.1844000
• 1.30.10-gke.1070000
• 1.31.6-gke.1064000
• 1.27.16-gke.2451000
• 1.29.14-gke.1067000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21700

Que dois-je faire ?

Mise à jour du 17/04/2025 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.30.600-gke.68
• 1.29.1100-gke.82
• 1.31.300-gke.81

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21700

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21700

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21700

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21703

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 22/05/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu GKE vers les versions suivantes ou ultérieures :

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.32.3-gke.1170000
• 1.29.15-gke.1017000
• 1.27.16-gke.2573000
• 1.28.15-gke.2003000
• 1.30.10-gke.1227000
• 1.31.6-gke.1221000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21703

Que dois-je faire ?

Mise à jour du 05/05/2025 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.1300-gke.98
• 1.31.300-gke.81
• 1.30.800-gke.66

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21703

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21703

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2025-21703

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Plusieurs problèmes de sécurité ont été détectés dans le contrôleur NGINX Ingress, ingress-nginx, un composant logiciel Open Source qui s'exécute dans les clusters Kubernetes pour aider à gérer le trafic réseau entrant dans le cluster. La plus critique est CVE-2025-1974. Pour en savoir plus et obtenir la liste complète, consultez le flux CVE de Kubernetes.

Ces problèmes concernent ingress-nginx. Si ingress-nginx n'est pas installé sur votre cluster, vous n'êtes pas concerné.

Les clusters GKE n'utilisent pas ingress-nginx et ne sont pas affectés par ces problèmes de sécurité, sauf si vous avez installé ingress-nginx sur votre cluster. Si vous avez installé ingress-nginx sur votre cluster GKE, vous pouvez être vulnérable à ces problèmes de sécurité.

À l'aide de CVE-2025-1974, un pirate informatique non authentifié ayant accès au réseau de pods peut exécuter du code arbitraire dans le contexte du contrôleur ingress-nginx. Cela peut entraîner la divulgation de secrets accessibles au contrôleur. Lorsque vous utilisez la configuration par défaut de ingress-nginx, le contrôleur peut accéder à tous les secrets de l'ensemble du cluster.

Que dois-je faire ?

1. Vérifiez si vos clusters GKE utilisent ingress-nginx à l'aide de l'une des commandes suivantes :

   • Vérifiez un cluster individuel :

     kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

   • Vérifiez plusieurs clusters à la fois à l'aide d'une requête de recherche de ressources dans l'inventaire des éléments cloud :

     gcloud asset search-all-resources \
         --scope='organizations/ORGANIZATION_ID' \
         --asset-types='k8s.io/Pod' \
         --query='labels."app.kubernetes.io/name"="ingress-nginx"'

     Remplacez ORGANIZATION_ID par l'ID de votre ressource d'organisation. Pour en savoir plus, consultez Obtenir l'ID de ressource de votre organisation.

2. Mettez à niveau ingress-nginx vers une version corrigée. Pour en savoir plus, consultez le flux officiel des CVE Kubernetes.

3. Découvrez comment personnaliser l'isolation réseau dans GKE.

   Pour réduire les risques liés aux réseaux non fiables, envisagez d'utiliser des nœuds privés et assurez-vous d'avoir mis en place des configurations de pare-feu restrictives.

Plusieurs problèmes de sécurité ont été détectés dans le contrôleur NGINX Ingress, ingress-nginx, un composant logiciel Open Source qui s'exécute dans les clusters Kubernetes pour gérer le trafic réseau entrant dans le cluster. La plus critique est CVE-2025-1974. Pour en savoir plus et obtenir la liste complète, consultez le flux CVE de Kubernetes.

Ces problèmes concernent ingress-nginx. Si ingress-nginx n'est pas installé sur votre cluster, vous n'êtes pas concerné.

Le logiciel GDC pour les clusters VMware n'utilise pas ingress-nginx et n'est pas affecté par ces problèmes de sécurité, sauf si vous avez installé ingress-nginx sur votre cluster. Si vous avez installé ingress-nginx sur votre logiciel GDC pour le cluster VMware, vous pouvez être vulnérable à ces problèmes de sécurité.

À l'aide de CVE-2025-1974, un pirate informatique non authentifié ayant accès au réseau de pods peut exécuter du code arbitraire dans le contexte du contrôleur ingress-nginx. Cela peut entraîner la divulgation de secrets accessibles au contrôleur. Lorsque vous utilisez la configuration par défaut de ingress-nginx, le contrôleur peut accéder à tous les secrets de l'ensemble du cluster.

Que dois-je faire ?

1. Vérifiez si votre logiciel GDC pour les clusters VMware utilise ingress-nginx :

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Mettez à niveau ingress-nginx vers une version corrigée. Pour en savoir plus, consultez le flux CVE officiel de Kubernetes.

Plusieurs problèmes de sécurité ont été détectés dans le contrôleur NGINX Ingress, ingress-nginx, un composant logiciel Open Source qui s'exécute dans les clusters Kubernetes pour aider à gérer le trafic réseau entrant dans le cluster. La plus critique est CVE-2025-1974. Pour en savoir plus et obtenir la liste complète, consultez le flux CVE de Kubernetes.

Ces problèmes concernent ingress-nginx. Si ingress-nginx n'est pas installé sur votre cluster, vous n'êtes pas concerné.

Les clusters GKE sur AWS n'utilisent pas ingress-nginx et ne sont pas concernés par ces problèmes de sécurité, sauf si vous avez installé ingress-nginx sur votre cluster. Si vous avez installé ingress-nginx sur votre cluster GKE sur AWS, vous êtes peut-être vulnérable à ces problèmes de sécurité.

À l'aide de CVE-2025-1974, un pirate informatique non authentifié ayant accès au réseau de pods peut exécuter du code arbitraire dans le contexte du contrôleur ingress-nginx. Cela peut entraîner la divulgation de secrets accessibles au contrôleur. Lorsque vous utilisez la configuration par défaut de ingress-nginx, le contrôleur peut accéder à tous les secrets de l'ensemble du cluster.

Que dois-je faire ?

1. Vérifiez si vos clusters GKE sur AWS utilisent ingress-nginx :

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Mettez à niveau ingress-nginx vers une version corrigée. Pour en savoir plus, consultez le flux CVE officiel de Kubernetes.

Plusieurs problèmes de sécurité ont été détectés dans le contrôleur NGINX Ingress, ingress-nginx, un composant logiciel Open Source qui s'exécute dans les clusters Kubernetes pour gérer le trafic réseau entrant dans le cluster. La plus critique est CVE-2025-1974. Pour en savoir plus et obtenir la liste complète, consultez le flux CVE de Kubernetes.

Ces problèmes concernent ingress-nginx. Si ingress-nginx n'est pas installé sur votre cluster, vous n'êtes pas concerné.

Les clusters GKE sur Azure n'utilisent pas ingress-nginx et ne sont pas affectés par ces problèmes de sécurité, sauf si vous avez installé ingress-nginx sur votre cluster. Si vous avez installé ingress-nginx sur votre cluster GKE sur Azure, vous êtes peut-être vulnérable à ces problèmes de sécurité.

À l'aide de CVE-2025-1974, un pirate informatique non authentifié ayant accès au réseau de pods peut exécuter du code arbitraire dans le contexte du contrôleur ingress-nginx. Cela peut entraîner la divulgation de secrets accessibles au contrôleur. Lorsque vous utilisez la configuration par défaut de ingress-nginx, le contrôleur peut accéder à tous les secrets de l'ensemble du cluster.

Que dois-je faire ?

1. Vérifiez si vos clusters GKE sur Azure utilisent ingress-nginx :

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Mettez à niveau ingress-nginx vers une version corrigée. Pour en savoir plus, consultez le flux CVE officiel de Kubernetes.

Plusieurs problèmes de sécurité ont été détectés dans le contrôleur NGINX Ingress, ingress-nginx, un composant logiciel Open Source qui s'exécute dans les clusters Kubernetes pour aider à gérer le trafic réseau entrant dans le cluster. La plus critique est CVE-2025-1974. Pour en savoir plus et obtenir la liste complète, consultez le flux CVE de Kubernetes.

Ces problèmes concernent ingress-nginx. Si ingress-nginx n'est pas installé sur votre cluster, vous n'êtes pas concerné.

Le logiciel GDC pour les clusters Bare Metal n'utilise pas ingress-nginx et n'est pas affecté par ces problèmes de sécurité, sauf si vous avez installé ingress-nginx sur votre cluster. Si vous avez installé ingress-nginx sur votre logiciel GDC pour le cluster Bare Metal, vous pouvez être vulnérable à ces problèmes de sécurité.

À l'aide de CVE-2025-1974, un pirate informatique non authentifié ayant accès au réseau de pods peut exécuter du code arbitraire dans le contexte du contrôleur ingress-nginx. Cela peut entraîner la divulgation de secrets accessibles au contrôleur. Lorsque vous utilisez la configuration par défaut de ingress-nginx, le contrôleur peut accéder à tous les secrets de l'ensemble du cluster.

Que dois-je faire ?

1. Vérifiez si vos clusters logiciels GDC pour bare metal utilisent ingress-nginx :

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Mettez à niveau ingress-nginx vers une version corrigée. Pour en savoir plus, consultez le flux CVE officiel de Kubernetes.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53164

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 10/04/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.31.6-gke.1064000
• 1.27.16-gke.2451000
• 1.28.15-gke.1844000
• 1.29.14-gke.1067000
• 1.30.10-gke.1070000
• 1.32.2-gke.1652000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.2451000
• 1.32.2-gke.1182000
• 1.29.14-gke.1067000
• 1.30.10-gke.1070000
• 1.31.6-gke.1064000
• 1.28.15-gke.1844000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53164

Que dois-je faire ?

Mise à jour du 10/04/2025 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.1100-gke.82
• 1.31.200-gke.58
• 1.30.500-gke.126

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53164

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53164

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53164

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-56770

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 02/06/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu GKE vers les versions suivantes ou ultérieures :

• 1.27.16-gke.2732000
• 1.28.15-gke.2192000
• 1.29.15-gke.1274000
• 1.30.12-gke.1151000
• 1.31.8-gke.1113000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.2387000
• 1.28.15-gke.1612000
• 1.29.13-gke.1006000
• 1.30.8-gke.1261000
• 1.31.5-gke.1023000
• 1.32.1-gke.1729000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-56770

Que dois-je faire ?

Mise à jour du 10/04/2025 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.31.200-gke.58
• 1.30.500-gke.126
• 1.29.1100-gke.82

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-56770

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-56770

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-56770

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Le projet Envoy a récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2024-53269, CVE-2024-53270 et CVE-2024-53271) qui pourraient permettre à un pirate informatique de planter Envoy.

Les versions mineures 1.31 et 1.32 de GKE utilisant Identity Service pour GKE sont concernées. Les clusters GKE Autopilot et les clusters utilisant GKE Sandbox sont également concernés.

Que dois-je faire ?

Mettez à niveau vos clusters et pools de nœuds GKE vers l'une des versions suivantes ou ultérieures :

• 1.31.3-gke.1162000
• 1.32.0-gke.1448000

Nous vous recommandons de mettre à niveau manuellement votre cluster, même si la mise à niveau automatique des nœuds est activée.

Une fonctionnalité récente des canaux de publication vous permet d'appliquer un correctif sans avoir à vous désabonner d'un canal. Cela vous permet de sécuriser vos nœuds jusqu'à ce que la nouvelle version devienne la version par défaut de votre canal de publication.

Le projet Envoy a récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2024-53269, CVE-2024-53270 et CVE-2024-53271) qui pourraient permettre à un pirate informatique de planter Envoy.

Les versions 1.31, 1.30 et 1.29 du logiciel GDC pour VMware utilisant Cloud Service Mesh version 1.23.3-asm.3 sont concernées.

Que dois-je faire ?

Le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters d'administrateur et d'utilisateur vers l'une des versions suivantes du logiciel GDC pour VMware :

• 1.31.200
• 1.30.600
• 1.29.1000

Le projet Envoy a récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2024-53269, CVE-2024-53270 et CVE-2024-53271) qui pourraient permettre à un pirate informatique de planter Envoy.

GKE sur AWS n'est pas fourni avec Envoy et n'est pas affecté.

Que dois-je faire ?

Aucune action n'est requise.

Le projet Envoy a récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2024-53269, CVE-2024-53270 et CVE-2024-53271) qui pourraient permettre à un pirate informatique de planter Envoy.

GKE sur Azure n'est pas fourni avec Envoy et n'est pas affecté.

Que dois-je faire ?

Aucune action n'est requise.

Le projet Envoy a récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2024-53269, CVE-2024-53270 et CVE-2024-53271) qui pourraient permettre à un pirate informatique de planter Envoy.

Que dois-je faire ?

Les versions suivantes du logiciel GDC pour Bare Metal ont été mises à jour avec du code pour corriger cette faille. Nous vous recommandons de mettre à niveau vos clusters vers l'une des versions suivantes du logiciel GDC pour Bare Metal :

• 1.31.200-gke.59
• 1.30.600-gke.69
• 1.29.1100-gke.84

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-53141

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.2296000
• 1.28.15-gke.1673000
• 1.29.13-gke.1038000
• 1.30.9-gke.1009000
• 1.31.5-gke.1023000
• 1.32.1-gke.1729000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.27.16-gke.2342000
• 1.28.15-gke.1720000
• 1.29.13-gke.1109000
• 1.30.9-gke.1127000
• 1.31.5-gke.1169000
• 1.32.1-gke.1729000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-53141

Que dois-je faire ?

Mise à jour du 10/04/2025 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.31.200-gke.58
• 1.30.600-gke.68
• 1.29.1100-gke.82

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-53141

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-53141

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-53141

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Un problème de sécurité a été détecté dans le fournisseur Google Secret Manager pour le pilote CSI Secret Store. Pour exploiter cette faille, un pirate informatique doit pouvoir effectuer les opérations suivantes :

1. Créez des pods sur les nœuds où le pilote CSI est en cours d'exécution.
2. Créez des secrets dans les mêmes espaces de noms que ces pods.
3. Installez les volumes CSI Secrets Store sur le pod avec l'option nodePublishSecretRef définie.
4. Fournissez une configuration malveillante des identifiants par défaut de l'application dans le secret.
5. Référencez le secret dans l'option nodePublishSecretRef sur le montage du volume.

En suivant ces étapes, un pirate informatique pourrait inciter le pilote CSI à divulguer le jeton de compte de service Kubernetes du pilote CSI à une URL contrôlée par le pirate informatique.

Le fournisseur Secret Manager peut être utilisé de deux manières avec un cluster GKE. Le module complémentaire Secret Manager pour GKE est une fonctionnalité gérée disponible sur les clusters GKE. Vous pouvez également installer le fournisseur Google Secret Manager pour le pilote CSI Secret Store Open Source sur votre cluster GKE. Dans les deux cas, le fournisseur permet à un pod Kubernetes d'accéder aux secrets stockés dans Google Cloud Secret Manager sous forme de fichiers installés sur le pod en tant que volume.

Les correctifs pour le module complémentaire Secret Manager GKE géré et le fournisseur Secret Manager Open Source désactivent l'utilisation de nodePublishSecretRef pour éviter ce problème. Il a été déterminé que cela n'avait aucune incidence sur l'utilisation existante du module complémentaire GKE Secret Manager. Un très petit nombre de clusters GKE utilisant le fournisseur Secret Manager Open Source avec nodePublishSecretRef peuvent être affectés. Le correctif Open Source permet de réactiver la fonctionnalité nodePublishSecretRef via la variable d'environnement ALLOW_NODE_PUBLISH_SECRET, si nécessaire.

Que dois-je faire ?

Effectuez l'une des opérations suivantes, selon la façon dont votre cluster GKE utilise le fournisseur Secret Manager :

Module complémentaire Secret Manager GKE géré

Si vous utilisez le module complémentaire GKE géré, mettez à niveau votre cluster GKE vers une version corrigée. Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille. Mettez à niveau vos pools de nœuds vers les versions suivantes ou ultérieures :

• 1.27.16-gke.2051000
• 1.28.15-gke.1362000
• 1.29.11-gke.1012000
• 1.30.6-gke.1596000
• 1.31.1-gke.1846000

Pour bénéficier du correctif le plus rapidement possible, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds Standard vers une version corrigée de GKE. Les canaux de publication GKE vous permettent d'appliquer un correctif avant que la nouvelle version ne devienne une cible de mise à niveau automatique dans le version disponible sélectionné.

Fournisseur Secret Manager Open Source

Si vous utilisez le fournisseur Secret Manager Open Source, passez à la version 1.7.0.. Si vous utilisez le chart Helm, la dernière version fait déjà référence à la version 1.7.0. Si vous basez votre installation directement sur le fichier deploy/provider-gcp-plugin.yaml, notez que l'image a également été mise à jour dans ce fichier.

Une faille de sécurité dans le fournisseur Google Secret Manager pour le pilote CSI Secret Store permet à un pirate informatique disposant des autorisations de création de pods et de secrets dans un espace de noms d'exfiltrer le jeton du compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod.

Que dois-je faire ?

Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous pouvez être concerné. Consultez les instructions concernant le fournisseur Secret Manager Open Source dans l'onglet GKE.

Les clusters GDC (VMware) ne sont pas affectés, car ils ne proposent pas de module complémentaire géré. Aucune autre action n'est donc requise.

Une faille de sécurité dans le fournisseur Google Secret Manager pour le pilote CSI Secret Store permet à un pirate informatique disposant des autorisations de création de pods et de secrets dans un espace de noms d'exfiltrer le jeton du compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod.

Que dois-je faire ?

Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous pouvez être concerné. Consultez les instructions concernant le fournisseur Secret Manager Open Source dans l'onglet GKE.

Les clusters GKE sur AWS ne sont pas affectés, car ils ne proposent pas de module complémentaire géré. Aucune autre action n'est donc requise.

Une faille de sécurité dans le fournisseur Google Secret Manager pour le pilote CSI Secret Store permet à un pirate informatique disposant des autorisations de création de pods et de secrets dans un espace de noms d'exfiltrer le jeton du compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod.

Que dois-je faire ?

Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous pouvez être concerné. Consultez les instructions concernant le fournisseur Secret Manager Open Source dans l'onglet GKE.

Les clusters GKE sur Azure ne sont pas affectés, car ils ne proposent pas de module complémentaire géré. Aucune autre action n'est donc requise.

Une faille de sécurité dans le fournisseur Google Secret Manager pour le pilote CSI Secret Store permet à un pirate informatique disposant des autorisations de création de pods et de secrets dans un espace de noms d'exfiltrer le jeton du compte de service Kubernetes du pilote CSI en installant un volume malveillant sur un pod.

Que dois-je faire ?

Si vous avez installé manuellement le fournisseur Secret Manager Open Source, vous pouvez être concerné. Consultez les instructions concernant le fournisseur Secret Manager Open Source dans l'onglet GKE.

Les clusters GDC (Bare Metal) ne sont pas affectés, car ils ne proposent pas de module complémentaire géré. Aucune autre action n'est donc requise.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 23/01/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.2081000
• 1.28.15-gke.1480000
• 1.29.12-gke.1055000
• 1.30.8-gke.1051000
• 1.31.4-gke.1072000
• 1.32.0-gke.1448000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-50264

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 23/01/2025 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions suivantes ou ultérieures :

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.1836000
• 1.28.15-gke.1342000
• 1.29.11-gke.1012000
• 1.30.7-gke.1077000
• 1.31.3-gke.1056000
• 1.32.0-gke.1448000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Que dois-je faire ?

Mise à jour du 22/01/2025 : le code des versions suivantes de GDC (VMware) a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters GDC (VMware) vers les versions suivantes ou ultérieures :

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-53057

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Mise à jour du 23 janvier 2025 : mise à jour de la section Ressources concernées.

Mise à jour du 08-01-2025 : La date et l'heure de début réelles du problème étaient le 04-12-2024 à 22:47 UTC.

Un problème de sécurité a été introduit le 08/12/2024 à 13h44 (UTC) et résolu le 04/01/2025 à 04h00 (UTC). Ce problème de sécurité a affecté les ressources des VPC avec GKE Multi-Cluster Gateway (MCG) configuré. MCG est une fonctionnalité facultative utilisée par un petit sous-ensemble de clients GKE. Nous informons individuellement les clients qui avaient activé la fonctionnalité pendant cette période.

Multi-Cluster Gateway (MCG) est une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters. Pour effectuer cette fonction, MCG doit apporter des modifications au pare-feu Google Cloud au niveau du projet. Une erreur dans MCG a entraîné la création d'une règle de pare-feu autorisant le trafic entrant qui autorisait le trafic TCP vers toutes les adresses IP (0.0.0.0/0) et tous les ports du VPC. Des mesures ont été prises pour éviter que ce type d'erreur ne se reproduise.

Étant donné que le pare-feu est une liste d'autorisation au niveau du VPC, les types de ressources suivants peuvent avoir été accessibles sur le réseau au cours de la période :

• Applications client exécutées sur des nœuds de calcul GKE accessibles via des adresses IP publiques.
• Applications client s'exécutant sur des machines virtuelles (VM) Compute Engine avec des adresses IP publiques.
• Toute autre ressource Google Cloud dans le même VPC que le cluster avec des adresses IP publiques et des ports d'écoute.

Les nœuds de calcul GKE, les VM Compute Engine et les autres ressources qui n'utilisaient que des adresses IP privées étaient peut-être plus largement accessibles au sein de leur VPC, mais pas sur Internet. Les applications protégées par les mécanismes suivants auraient réduit ou éliminé leur exposition :

• Règles de pare-feu DENY de priorité égale ou supérieure (MCG définit la priorité des règles de pare-feu sur 1000 par défaut)
• Maillage de services utilisant l'autorisation basée sur l'identité
• Autorisation au niveau de l'application

Ressources concernées

Mise à jour du 23/01/2025 : Les flottes (ou hubs) GKE utilisant MCG dans des projets de service de VPC partagé ne sont pas concernées par le problème, car les règles de pare-feu ne sont pas gérées à partir de projets de service de VPC partagé.

Les ressources résidant dans des VPC avec GKE MCG configuré et écoutant les adresses IP publiques ont été affectées. Les ressources concernées incluent, sans s'y limiter, les applications s'exécutant sur les nœuds de calcul GKE.

Que dois-je faire ?

Le problème a été résolu dans tous les VPC concernés en corrigeant la configuration incorrecte du pare-feu. Les règles créées par erreur ont été automatiquement modifiées avec les plages sources appropriées (130.211.0.0/22, 35.191.0.0/16) pour autoriser le trafic entrant provenant de l'infrastructure de vérification de l'état Google Cloud et, éventuellement, les plages de votre sous-réseau proxy réservé pour les passerelles internes. Pour en savoir plus sur les règles de pare-feu créées automatiquement par MCG dans vos projets, consultez Règles de pare-feu GKE Gateway.

Vous pouvez également confirmer la résolution en vérifiant les règles de pare-feu gérées sur les VPC à l'aide de GKE MCG. Vérifiez qu'une plage source est définie sur les règles de pare-feu gérées qui utilisent le préfixe gkemcg1-l7-. Examinez ces règles et vérifiez qu'une plage de sources est définie.

Pour lister les règles de pare-feu gérées par le MCG dans votre environnement actuel, exécutez la commande suivante :

gcloud compute firewall-rules list --format="json" --filter="name:gkemcg1-l7-*" | jq -r '.[] | "\(.name): \(.sourceRanges // "No source range")"' | awk -F: '{if ($2 ~ /No source range|^\s*$/) print "Rule "$1" has an EMPTY or MISSING source range."; else print "Rule "$1" has source range(s): "$2;}'

Pour rechercher dans les journaux les modifications apportées aux configurations de pare-feu gérées par MCG, utilisez l'explorateur de journaux avec la requête ci-dessous :

protoPayload.serviceName="compute.googleapis.com"
          resource.type="gce_firewall_rule"
          protoPayload.resourceName=~"projects/[^/]+/global/firewalls/gkemcg1-"
          -operation.last="true"

Pour lister les règles de pare-feu gérées par le MCG dans votre organisation, exécutez la commande suivante pour interroger inventaire des éléments cloud :

gcloud asset search-all-resources
          --scope='organizations/'
          --asset-types='compute.googleapis.com/Firewall'
          --query 'name: //compute.googleapis.com/projects/*/*/firewalls/gkemcg*'

Les contrôles supplémentaires suivants offrent une défense en profondeur contre les réseaux non approuvés et peuvent être envisagés pour renforcer la sécurité :

• Utilisez des nœuds GKE privés pour vous assurer que vos nœuds n'obtiennent que des adresses IP privées.
• Utilisez des stratégies de pare-feu DENY explicites lorsque cela est possible.
• Utilisez une stratégie de pare-feu hiérarchique pour remplacer les configurations de pare-feu au niveau du VPC.
• Utilisez Cloud Service Mesh pour fournir l'authentification et l'autorisation.
• Utilisez l'authentification et l'autorisation dans l'application.
• Utilisez le service de règles d'administration pour bloquer les règles de pare-feu qui autorisent tout le trafic. Pour ce faire, créez une contrainte pour refuser toutes les règles de pare-feu de trafic et appliquez-la avec une règle.

Nous vous recommandons d'examiner les configurations et les journaux pour identifier les applications ou services qui auraient pu être exposés pendant la période mentionnée précédemment et qui n'auraient pas dû l'être. Vous pouvez utiliser les outils suivants pour vérifier le trafic entrant vers vos ressources exécutées dans Google Cloud :

• Journaux de flux VPC pour la visibilité sur le débit et les performances du réseau
• Cloud Logging pour rechercher et analyser les données et les événements de journalisation des services et applications Google Cloud configurés pour envoyer des journaux
• La journalisation des règles de pare-feu vous permet d'auditer, de vérifier et d'analyser les effets de vos règles de pare-feu.
• Security Command Center pour obtenir de la visibilité sur les résultats de sécurité indiquant une activité réseau suspecte
• Journaux de votre application

Un problème de sécurité a été découvert et affecte Multi-Cluster Gateway (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters.

Les clusters GDC (VMware) ne sont pas compatibles avec MCG et ne sont pas affectés.

Que dois-je faire ?

Aucune action n'est requise.

Un problème de sécurité a été découvert et affecte Multi-Cluster Gateway (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters.

Les clusters GKE sur AWS ne sont pas compatibles avec MCG et ne sont pas affectés.

Que dois-je faire ?

Aucune action n'est requise.

Un problème de sécurité a été découvert et affecte Multi-Cluster Gateway (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters.

Les clusters GKE sur Azure ne sont pas compatibles avec MCG et ne sont pas affectés.

Que dois-je faire ?

Aucune action n'est requise.

Un problème de sécurité a été découvert et affecte Multi-Cluster Gateway (MCG), une fonctionnalité GKE qui permet aux clients d'équilibrer la charge du trafic sur plusieurs clusters.

Les clusters GDC (bare metal) ne sont pas compatibles avec MCG et ne sont pas affectés.

Que dois-je faire ?

Aucune action n'est requise.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 12/12/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.28.15-gke.1342000
• 1.29.10-gke.1280000
• 1.30.6-gke.1596000
• 1.31.3-gke.1023000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.1576000
• 1.28.14-gke.1217000
• 1.29.9-gke.1496000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Que dois-je faire ?

Mise à jour du 22/01/2025 : le code des versions suivantes de GDC (VMware) a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters GDC (VMware) vers les versions suivantes ou ultérieures :

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-46800

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Un problème de sécurité détecté dans les clusters Kubernetes pourrait entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt Git est construit de manière malveillante, un utilisateur ayant la possibilité de créer un pod et d'associer un volume gitRepo peut exécuter des commandes arbitraires au-delà des limites du conteneur.

Que dois-je faire ?

Mettez à niveau votre cluster GKE et vos pools de nœuds vers une version corrigée. Les versions suivantes de GKE ont été mises à jour pour corriger cette faille :

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers une version corrigée de GKE. Les canaux de publication GKE vous permettent d'appliquer un correctif sans avoir à vous désabonner ni à changer de canal de publication. Cela vous permet de sécuriser votre cluster et vos nœuds avant que la nouvelle version ne devienne la version par défaut du version disponible sélectionné.

Quelles failles ce correctif permet-il de résoudre ?

CVE-2024-10220 permet à un pirate informatique de créer un pod et d'associer un volume gitRepo pour exécuter des commandes arbitraires au-delà de la limite du conteneur.

Un problème de sécurité détecté dans les clusters Kubernetes pourrait entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt Git est construit de manière malveillante, un utilisateur ayant la possibilité de créer un pod et d'associer un volume gitRepo peut exécuter des commandes arbitraires au-delà des limites du conteneur.

Que dois-je faire ?

Un problème de sécurité détecté dans les clusters Kubernetes pourrait entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt Git est construit de manière malveillante, un utilisateur ayant la possibilité de créer un pod et d'associer un volume gitRepo peut exécuter des commandes arbitraires au-delà des limites du conteneur.

Que dois-je faire ?

Un problème de sécurité détecté dans les clusters Kubernetes pourrait entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt Git est construit de manière malveillante, un utilisateur ayant la possibilité de créer un pod et d'associer un volume gitRepo peut exécuter des commandes arbitraires au-delà des limites du conteneur.

Que dois-je faire ?

Un problème de sécurité détecté dans les clusters Kubernetes pourrait entraîner l'exécution de code à distance à l'aide d'un volume gitRepo. Si le dépôt Git est construit de manière malveillante, un utilisateur ayant la possibilité de créer un pod et d'associer un volume gitRepo peut exécuter des commandes arbitraires au-delà des limites du conteneur.

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 19/11/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1784000
• 1.28.15-gke.1080000
• 1.29.10-gke.1155000
• 1.30.6-gke.1059000
• 1.31.2-gke.1354000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.16-gke.1478000
• 1.28.14-gke.1099000
• 1.29.9-gke.1177000
• 1.30.5-gke.1145000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Que dois-je faire ?

Mise à jour du 15/10/2024 : le code des versions suivantes de GDC (VMware) a été mis à jour pour corriger cette faille. Mettez à niveau vos clusters GDC (VMware) vers les versions suivantes ou ultérieures :

• 1.30.100-gke.96
• 1.29.600-gke.109
• 1.28.1000-gke.59

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-45016

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'il peut s'y connecter.

GKE n'utilise pas le système d'impression CUPS et n'est pas affecté.

Que dois-je faire ?

Aucune action requise

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'il peut s'y connecter.

Le logiciel GDC pour VMware n'utilise pas le système d'impression CUPS et n'est pas affecté.

Que dois-je faire ?

Aucune action requise

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'il peut s'y connecter.

GKE sur AWS n'utilise pas le système d'impression CUPS et n'est pas affecté.

Que dois-je faire ?

Aucune action requise

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'il peut s'y connecter.

GKE sur Azure n'utilise pas le système d'impression CUPS et n'est donc pas affecté.

Que dois-je faire ?

Aucune action requise

Une chaîne de failles (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) pouvant entraîner l'exécution de code à distance a été découverte dans le système d'impression CUPS utilisé par certaines distributions Linux. Un pirate informatique peut exploiter cette faille si les services CUPS écoutent sur le port UDP 631 et qu'il peut s'y connecter.

Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Que dois-je faire ?

Aucune action requise

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneurs et où les utilisateurs AUTHORITY\Authenticated peuvent modifier les journaux de conteneurs.

Tout environnement Kubernetes comportant des nœuds Windows est concerné. Exécutez kubectl get nodes -l kubernetes.io/os=windows pour voir si des nœuds Windows sont utilisés.

Versions de GKE concernées

• 1.27.15 et versions antérieures
• 1.28.11 et versions antérieures
• 1.29.6 et versions antérieures
• 1.30.2 et versions antérieures

Que dois-je faire ?

Les versions suivantes de GKE ont été mises à jour pour corriger cette faille. Pour des raisons de sécurité, même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds vers l'une des versions de GKE suivantes ou une version ultérieure :

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Quelles failles sont corrigées ?

CVE-2024-5321

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneur, et où les utilisateurs AUTHORITY\Authenticated peuvent modifier les journaux de conteneur.

Tout environnement Kubernetes comportant des nœuds Windows est concerné. Exécutez kubectl get nodes -l kubernetes.io/os=windows pour voir si des nœuds Windows sont utilisés.

Que dois-je faire ?

Les versions de correctif pour le logiciel GDC pour VMware sont en cours. Nous mettrons à jour ce bulletin en y ajoutant ces informations lorsqu'elles seront disponibles.

Quelles failles sont corrigées ?

CVE-2024-5321

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneurs et où les utilisateurs AUTHORITY\Authenticated peuvent modifier les journaux de conteneurs.

Les clusters GKE sur AWS ne sont pas compatibles avec les nœuds Windows et ne sont pas affectés.

Que dois-je faire ?

Aucune action requise

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneurs et où les utilisateurs AUTHORITY\Authenticated peuvent modifier les journaux de conteneurs.

Les clusters GKE sur Azure ne sont pas compatibles avec les nœuds Windows et ne sont pas affectés.

Que dois-je faire ?

Aucune action requise

Un problème de sécurité a été détecté dans les clusters Kubernetes comportant des nœuds Windows, où BUILTIN\Users peut lire les journaux de conteneurs et où les utilisateurs AUTHORITY\Authenticated peuvent modifier les journaux de conteneurs.

Le logiciel GDC pour les clusters Bare Metal n'est pas compatible avec les nœuds Windows et n'est pas affecté.

Que dois-je faire ?

Aucune action requise

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique pourrait exploiter cette faille à distance en envoyant des paquets IPv6 spécialement conçus à un hôte.

Que dois-je faire ?

GKE n'est pas compatible avec IPv6 sur Windows et n'est pas affecté par cette faille CVE. Aucune action n'est requise.

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique pourrait exploiter cette faille à distance en envoyant des paquets IPv6 spécialement conçus à un hôte.

Que dois-je faire ?

Le logiciel GDC pour VMware n'est pas compatible avec IPv6 sur Windows et n'est pas affecté par cette CVE. Aucune action n'est requise.

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique pourrait exploiter cette faille à distance en envoyant des paquets IPv6 spécialement conçus à un hôte.

Que dois-je faire ?

GKE sur AWS n'est pas affecté par cette CVE. Aucune action n'est requise.

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique pourrait exploiter cette faille à distance en envoyant des paquets IPv6 spécialement conçus à un hôte.

Que dois-je faire ?

GKE sur Azure n'est pas affecté par cette CVE. Aucune action n'est requise.

Une nouvelle faille d'exécution de code à distance (CVE-2024-38063) a été découverte dans Windows. Un pirate informatique pourrait exploiter cette faille à distance en envoyant des paquets IPv6 spécialement conçus à un hôte.

Que dois-je faire ?

GDC (bare metal) n'est pas affecté par cette CVE. Aucune action n'est requise.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 01/11/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou versions ultérieures :

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Que dois-je faire ?

Mise à jour du 21/10/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.28.1100-gke.91
• 1.30.200-gke.101
• 1.29.600-gke.109

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36978

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 30/10/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou versions ultérieures :

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Que dois-je faire ?

Mise à jour du 25/10/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.700-gke.110
• 1.28.1100-gke.91
• 1.30.200-gke.101

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-41009

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 30/10/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Que dois-je faire ?

Mise à jour du 21/10/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-39503

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 21/08/2024 : le code des versions suivantes de GKE a été mis à jour pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds d'OS optimisé pour les conteneurs vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Que dois-je faire ?

Mise à jour du 19/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.400
• 1.28.900

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26925

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 30/10/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds d'OS optimisé pour les conteneurs vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Que dois-je faire ?

Mise à jour du 21/10/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-36972

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 02/10/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1287000
• 1.28.13-gke.1042000
• 1.29.8-gke.1096000
• 1.30.4-gke.1476000
• 1.30.4-gke.1476000
• 1.31.0-gke.1577000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Que dois-je faire ?

Mise à jour du 20/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.30.200
• 1.29.500
• 1.28.1000

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26921

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Mise à jour du 18/07/2024 : La version originale de ce bulletin indiquait à tort que les clusters Autopilot étaient concernés. Les clusters Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil "Unconfined" de seccomp ou si vous autorisez la fonctionnalité CAP_NET_ADMIN.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26809

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 19/07/2024  : les versions suivantes de GKE contiennent du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Que dois-je faire ?

Mise à jour du 16/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.200
• 1.28.700
• 1.16.11

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52654
• CVE-2023-52656

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Mise à jour du 03/07/2024  : un déploiement accéléré est en cours. Les nouvelles versions de correctif devraient être disponibles dans toutes les zones d'ici le 3 juillet 2024 à 17h, heure d'été du Pacifique des États-Unis et du Canada (UTC-7). Pour recevoir une notification dès qu'un correctif est disponible pour votre cluster spécifique, utilisez les notifications de cluster.

Mise à jour du 02/07/2024 : cette faille affecte les clusters en mode Autopilot et en mode Standard. Chaque section suivante vous indiquera les modes auxquels elle s'applique.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Toutes les versions compatibles des images Container-Optimized OS et Ubuntu sur GKE exécutent des versions d'OpenSSH vulnérables à ce problème.

Les clusters GKE avec des adresses IP de nœud publiques et SSH exposés à Internet doivent être traités en priorité pour la mitigation.

Le plan de contrôle GKE n'est pas vulnérable à ce problème.

Que dois-je faire ?

Mise à jour du 03/07/2024 : versions de correctif pour GKE

Un déploiement accéléré est en cours. Les nouvelles versions de correctif devraient être disponibles dans toutes les zones d'ici le 3 juillet 2024 à 17h, heure d'été du Pacifique des États-Unis et du Canada (UTC-7).

Les clusters et les nœuds pour lesquels la mise à niveau automatique est activée commenceront à être mis à niveau au cours de la semaine. Toutefois, en raison de la gravité de la faille, nous vous recommandons de procéder à la mise à niveau manuellement comme indiqué ci-dessous afin d'obtenir les correctifs le plus rapidement possible.

Pour les clusters Autopilot et Standard, mettez à niveau votre plan de contrôle vers une version corrigée. De plus, pour les clusters en mode Standard, mettez à niveau vos pools de nœuds vers une version corrigée. Les clusters Autopilot commenceront à mettre à niveau vos nœuds pour qu'ils correspondent à la version du plan de contrôle dès que possible.

Les versions de GKE avec correctif sont disponibles pour chaque version compatible afin de réduire au minimum les modifications nécessaires à l'application du correctif. Le numéro de version de chaque nouvelle version est un incrément du dernier chiffre du numéro de version précédent. Par exemple, si vous utilisez la version 1.27.14-gke.1100000, vous passerez à la version 1.27.14-gke.1100002 pour obtenir le correctif avec le plus petit changement possible. Les versions GKE avec correctifs suivantes sont disponibles :

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Pour vérifier si un correctif est disponible dans la zone ou la région de votre cluster, exécutez la commande suivante :

gcloud container get-server-config --location=LOCATION

Remplacez LOCATION par votre zone ou région.

Mise à jour du 02/07/2024  : les clusters en mode Autopilot et en mode Standard doivent être mis à niveau dès que possible après la disponibilité des versions de correctif.

Une version corrigée de GKE incluant une version mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Pour recevoir une notification Pub/Sub lorsqu'un correctif est disponible pour votre chaîne, activez les notifications de cluster. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de votre cluster et appliquer les mesures d'atténuation décrites, si nécessaire.

Déterminer si vos nœuds disposent d'adresses IP publiques

Mise à jour du 02/07/2024  : Cette section s'applique aux clusters Autopilot et Standard.

Si un cluster est créé avec enable-private-nodes, les nœuds seront privés, ce qui atténue la faille en supprimant l'exposition à Internet. Exécutez la commande suivante pour déterminer si les nœuds privés sont activés dans votre cluster :

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Si la valeur renvoyée est "True", tous les nœuds sont des nœuds privés pour ce cluster et la vulnérabilité est atténuée. Si la valeur est vide ou "false", passez à l'application de l'une des atténuations décrites dans les sections suivantes.

Pour rechercher tous les clusters créés à l'origine avec des nœuds publics, utilisez cette requête d'inventaire des éléments cloud dans le projet ou l'organisation :

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Interdire la connexion SSH aux nœuds du cluster

Mise à jour du 02/07/2024  : Cette section s'applique aux clusters Autopilot et Standard.

Le réseau par défaut est prérempli avec une règle de pare-feu default-allow-ssh pour autoriser l'accès SSH depuis l'Internet public. Pour supprimer cet accès, vous pouvez :

• Si vous le souhaitez, créer des règles pour autoriser tout accès SSH dont vous avez besoin depuis des réseaux de confiance vers des nœuds GKE ou d'autres VM Compute Engine du projet.
• Désactiver la règle de pare-feu par défaut à l'aide de la commande suivante:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Si vous avez créé d'autres règles de pare-feu qui peuvent autoriser SSH via TCP sur le port 22, désactivez-les ou limitez les adresses IP sources aux réseaux de confiance.

Vérifiez que vous ne pouvez plus vous connecter en SSH aux nœuds du cluster depuis Internet. Cette configuration de pare-feu atténue la faille.

Convertir des pools de nœuds publics en pools privés

Mise à jour du 02/07/2024  : Pour les clusters Autopilot initialement créés en tant que clusters publics, vous pouvez placer vos charges de travail sur des nœuds privés à l'aide de nodeSelectors. Toutefois, les nœuds Autopilot qui exécutent des charges de travail système sur des clusters initialement créés en tant que clusters publics resteront des nœuds publics et devront être protégés à l'aide des modifications apportées au pare-feu décrites dans la section précédente.

Pour mieux protéger les clusters créés à l'origine avec des nœuds publics, nous vous recommandons de commencer par interdire le protocole SSH via le pare-feu, comme décrit précédemment. Si vous ne parvenez pas à interdire le protocole SSH à l'aide des règles de pare-feu, vous pouvez convertir les pools de nœuds publics des clusters GKE Standard en pools privés en suivant ces instructions pour isoler les pools de nœuds.

Modifier la configuration SSHD

Mise à jour du 02/07/2024  : cette section ne s'applique qu'aux clusters standards. Les charges de travail Autopilot ne sont pas autorisées à modifier la configuration des nœuds.

Si aucune de ces mesures d'atténuation ne peut être appliquée, nous avons également publié un daemonset qui définit LoginGraceTime SSHD sur zéro et redémarre le daemon SSH. Ce DaemonSet peut être appliqué au cluster pour atténuer l'attaque. Notez que cette configuration peut augmenter le risque d'attaques par déni de service et entraîner des problèmes d'accès SSH légitime. Ce daemonset doit être supprimé après l'application d'un correctif.

Mise à jour du 11/07/2024  : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre poste de travail administrateur, vos clusters d'administrateur et vos clusters d'utilisateurs (y compris les pools de nœuds) vers l'une des versions suivantes ou une version ultérieure. Pour obtenir des instructions, consultez la section Mettre à niveau un cluster ou un pool de nœuds.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

La mise à jour du 02/07/2024 de ce bulletin indiquait à tort que toutes les versions compatibles des images Ubuntu sur le logiciel GDC pour VMware exécutaient des versions d'OpenSSH vulnérables à ce problème. Les images Ubuntu sur le logiciel GDC pour les clusters VMware version 1.16 exécutent des versions d'OpenSSH qui ne sont pas vulnérables à ce problème. Les images Ubuntu dans le logiciel GDC pour VMware 1.28 et 1.29 sont vulnérables. Les images Container-Optimized OS sur toutes les versions compatibles du logiciel GDC pour VMware sont vulnérables à ce problème.

Mise à jour du 02/07/2024  : toutes les versions compatibles des images Container-Optimized OS et Ubuntu sur le logiciel GDC pour VMware exécutent des versions d'OpenSSH vulnérables à ce problème.

Le logiciel GDC pour les clusters VMware avec des adresses IP de nœuds publiques et SSH exposés à Internet doit être traité en priorité pour l'atténuation.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024  : une version corrigée du logiciel GDC pour VMware incluant une version mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Nous vous recommandons d'appliquer les atténuations suivantes, si nécessaire.

Interdire la connexion SSH aux nœuds du cluster

Vous pouvez modifier la configuration de votre réseau d'infrastructure pour interdire la connectivité SSH à partir de sources non fiables, telles que l'Internet public.

Modifier la configuration sshd

Si vous ne pouvez pas appliquer la mesure d'atténuation précédente, nous avons publié un DaemonSet qui définit LoginGraceTime sur zéro et redémarre le daemon SSH. Ce DaemonSet peut être appliqué au cluster pour atténuer l'attaque. Notez que cette configuration peut augmenter le risque d'attaques par déni de service et entraîner des problèmes d'accès SSH légitime. Supprimez ce DaemonSet après l'application d'un correctif.

Mise à jour du 11/07/2024 : le code des versions suivantes de GKE sur AWS a été mis à jour pour corriger cette faille :

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Mettez à niveau votre plan de contrôle et vos pools de nœuds GKE sur AWS vers l'une de ces versions corrigées ou ultérieures. Pour obtenir des instructions, consultez les pages Mettre à niveau la version de votre cluster AWS et Mettre à jour un pool de nœuds.

Mise à jour du 02/07/2024  : toutes les versions compatibles des images Ubuntu sur GKE sur AWS exécutent des versions d'OpenSSH vulnérables à ce problème.

Les clusters GKE sur AWS avec des adresses IP de nœud publiques et le protocole SSH exposé à Internet doivent être traités en priorité pour la mitigation.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024  : une version corrigée de GKE sur AWS incluant une version mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de votre cluster et appliquer les mesures d'atténuation décrites si nécessaire.

Déterminer si vos nœuds disposent d'adresses IP publiques

Par défaut, GKE sur AWS ne provisionne aucune machine avec des adresses IP publiques ni avec des règles de pare-feu autorisant le trafic vers le port 22. Toutefois, en fonction de la configuration de votre sous-réseau, les machines peuvent obtenir automatiquement une adresse IP publique lors du provisionnement.

Pour vérifier si les nœuds sont provisionnés avec des adresses IP publiques, examinez la configuration du sous-réseau associé à votre ressource de pool de nœuds AWS.

Interdire la connexion SSH aux nœuds du cluster

Bien que GKE sur AWS n'autorise pas le trafic sur le port 22 sur un nœud par défaut, les clients peuvent associer des groupes de sécurité supplémentaires aux pools de nœuds, ce qui permet d'activer le trafic SSH entrant.

Nous vous recommandons de supprimer ou de réduire le champ d'application des règles correspondantes des groupes de sécurité fournis.

Convertir des pools de nœuds publics en pools privés

Pour protéger au mieux les clusters avec des nœuds publics, nous vous recommandons de commencer par interdire le protocole SSH via votre groupe de sécurité, comme décrit dans la section précédente. Si vous ne pouvez pas interdire le protocole SSH via les règles du groupe de sécurité, vous pouvez convertir les pools de nœuds publics en pools privés en désactivant l'option permettant d'attribuer automatiquement des adresses IP publiques aux machines d'un sous-réseau et en reconfigurant le pool de nœuds.

Mise à jour du 11/07/2024 : le code des versions suivantes de GKE sur Azure a été mis à jour pour corriger cette faille :

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Mettez à niveau votre plan de contrôle et vos pools de nœuds GKE sur Azure vers l'une de ces versions corrigées ou ultérieures. Pour obtenir des instructions, consultez les pages Mettre à niveau la version de votre cluster Azure et Mettre à jour un pool de nœuds.

Mise à jour du 02/07/2024  : toutes les versions compatibles des images Ubuntu sur GKE sur Azure exécutent des versions d'OpenSSH vulnérables à ce problème.

Les clusters GKE sur Azure avec des adresses IP de nœud publiques et le protocole SSH exposé à Internet doivent être traités en priorité pour la mitigation.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024  : une version corrigée de GKE sur Azure incluant une version mise à jour d'OpenSSH sera disponible dès que possible. Ce bulletin sera mis à jour dès que des informations sont disponibles. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de votre cluster et appliquer les mesures d'atténuation décrites si nécessaire.

Déterminer si vos nœuds disposent d'adresses IP publiques

GKE sur Azure ne provisionne aucune machine avec des adresses IP publiques ni avec des règles de pare-feu qui autorisent le trafic vers le port 22 par défaut. Pour vérifier si des adresses IP publiques sont configurées sur votre cluster GKE sur Azure, exécutez la commande suivante :

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

Interdire la connexion SSH aux nœuds du cluster

Même si GKE sur Azure n'autorise pas le trafic sur le port 22 sur un nœud par défaut, les clients peuvent mettre à jour les règles NetworkSecurityGroup vers des pools de nœuds, ce qui permet d'activer le trafic SSH entrant depuis l'Internet public.

Nous vous recommandons vivement d'examiner les groupes de sécurité réseau (NSG) associés à vos clusters Kubernetes. Si une règle de NSG autorise le trafic entrant sans restriction sur le port 22 (SSH), procédez comme suit :

• Supprimer complètement la règle : si l'accès SSH aux nœuds du cluster n'est pas requis depuis Internet, supprimez la règle pour éliminer les vecteurs d'attaque potentiels.
• Réduisez la portée de la règle : restreignez l'accès entrant sur le port 22 aux adresses IP ou aux plages d'adresses IP spécifiques qui l'exigent. Cela réduit la surface exposée aux attaques potentielles.

Convertir des pools de nœuds publics en pools privés

Pour protéger au mieux les clusters avec des nœuds publics, nous vous recommandons de commencer par interdire le protocole SSH via votre groupe de sécurité, comme décrit dans la section précédente. Si vous ne pouvez pas interdire le protocole SSH à l'aide des règles du groupe de sécurité, vous pouvez convertir les pools de nœuds publics en pools privés en supprimant les adresses IP publiques associées aux VM.

Pour supprimer une adresse IP publique d'une VM et la remplacer par une configuration d'adresse IP privée, consultez la section Dissocier une adresse IP publique d'une VM Azure.

Impact  : toutes les connexions existantes utilisant l'adresse IP publique seront interrompues. Assurez-vous de disposer d'autres méthodes d'accès, comme un VPN ou Azure Bastion.

Mise à jour du 02/07/2024  : La version originale de ce bulletin pour le logiciel GDC pour Bare Metal indiquait à tort que des versions de correctif étaient en cours de développement. Le logiciel GDC pour Bare Metal n'est pas directement affecté, car il ne gère pas le daemon ni la configuration SSH du système d'exploitation. Les versions de correctif relèvent donc de la responsabilité du fournisseur du système d'exploitation, comme décrit dans la section Que dois-je faire ?.

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à une interface système distante, qui permet ainsi aux pirates informatiques d'obtenir un accès racine aux nœuds GKE. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

Mise à jour du 02/07/2024  : contactez votre fournisseur d'OS pour obtenir un correctif pour les systèmes d'exploitation utilisés avec le logiciel GDC pour Bare Metal.

En attendant d'appliquer le correctif du fournisseur d'OS, assurez-vous que les machines accessibles au public n'autorisent pas les connexions SSH depuis Internet. Si cela n'est pas possible, vous pouvez également définir LoginGraceTime sur zéro et redémarrer le serveur sshd :

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Notez que cette modification de configuration peut augmenter le risque d'attaques par déni de service et entraîner des problèmes d'accès SSH légitime.

Texte d'origine du 01/07/2024 (voir la mise à jour précédente du 02/07/2024 pour obtenir la version corrigée) :

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 20/08/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Que dois-je faire ?

Mise à jour du 25/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.400
• 1.28.900

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26923

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 06/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Que dois-je faire ?

Mise à jour du 17/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.29.400
• 1.28.800
• 1.16.11

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26924

Que dois-je faire ?

Aucune action n'est requise. Le logiciel GDC pour Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26584

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 18/07/2024  : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

La version suivante de GKE a été mise à jour avec du code pour corriger cette faille sur Container-Optimized OS. Mettez à niveau vos pools de nœuds Container-Optimized OS vers la version de correctif suivante ou une version ultérieure :

• 1.27.15-gke.1125000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Les versions mineures suivantes sont concernées, mais aucune version de correctif n'est disponible. Nous mettrons à jour ce bulletin lorsque les versions de correctif seront disponibles :

• 1,26
• 1.27

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26584

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 10/07/2024  : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou ultérieures :

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Pour les versions mineures 1.26 et 1.27, mettez à niveau vos pools de nœuds de Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2024-26583

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Que dois-je faire ?

Mise à jour du 26/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.28.900-gke.113
• 1.29.400-gke.8

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Que dois-je faire ?

Les failles suivantes ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS :

• CVE-2022-23222

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE n'utilise pas de version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE n'est pas concerné par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE sur VMware n'utilise pas de version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE sur VMware n'est pas affecté par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE sur AWS n'utilise pas de version vulnérable de Fluent Bit et n'est donc pas affecté.

Que dois-je faire ?

GKE sur AWS n'est pas concerné par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE sur Azure n'utilise pas de version vulnérable de Fluent Bit et n'est pas affecté.

Que dois-je faire ?

GKE sur Azure n'est pas concerné par cette faille. Vous n'avez rien à faire.

Une nouvelle faille (CVE-2024-4323) a été découverte dans Fluent Bit, qui pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées.

GKE sur Bare Metal n'utilise pas de version vulnérable de Fluent Bit et n'est donc pas affecté.

Que dois-je faire ?

GKE on Bare Metal n'est pas affecté par cette faille. Vous n'avez rien à faire.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 18/07/2024  : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-52620

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 19/08/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26642

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 05/22/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26581

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Mise à jour du 9 mai 2024 : gravité corrigée de "Moyenne" à "Élevée". Le bulletin d'origine indiquait que les clusters Autopilot étaient concernés, mais il s'agissait d'une information erronée. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp "Unconfined" ou si vous autorisez CAP_NET_ADMIN.

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 15/05/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Que dois-je faire ?

Mise à jour du 25/09/2024 : le code des versions suivantes du logiciel GDC pour VMware a été mis à jour pour corriger cette faille. Mettez à niveau votre logiciel GDC pour les clusters VMware vers les versions suivantes ou ultérieures :

• 1.28.600
• 1.16.9

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26808

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Mise à jour du 9 mai 2024 : gravité corrigée de "Moyenne" à "Élevée".

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 06/08/2024 : ajout de versions de correctif pour les pools de nœuds Ubuntu sur GKE.

Les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures :

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26643

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Les clusters GKE Standard et Autopilot sont concernés.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 18/07/2024  : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille sur Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-26585

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un DoS du plan de contrôle Google Kubernetes Engine (GKE). Les clusters GKE pour lesquels des réseaux autorisés sont configurés sont protégés en limitant l'accès au réseau, mais tous les autres clusters sont concernés.

Les clusters GKE Autopilot et Standard sont concernés.

Que dois-je faire ?

Mise à jour du 24/04/2024: ajout de versions de correctif pour GKE.

Les versions suivantes de GKE incluent les correctifs de sécurité Golang pour corriger cette faille. Mettez à niveau vos clusters GKE vers les versions suivantes ou ultérieures :

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance.

Pour atténuer ce problème, configurez des réseaux autorisés pour l'accès au plan de contrôle :

Vous pouvez protéger vos clusters contre ce type d'attaques en configurant des réseaux autorisés. Suivez les instructions pour activer les réseaux autorisés pour un cluster existant.

Pour en savoir plus sur la façon dont les réseaux autorisés contrôlent l'accès au plan de contrôle, consultez la section Fonctionnement des réseaux autorisés. Pour afficher l'accès réseau autorisé par défaut, consultez le tableau de la section Accès aux points de terminaison du plan de contrôle.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un DoS du plan de contrôle Google Kubernetes Engine (GKE).

Que dois-je faire ?

Mise à jour du 17/07/2024: Ajout de versions de correctif pour GKE sur VMware.

Les versions suivantes de GKE sur VMware incluent du code pour corriger cette faille. Mettez à niveau vos clusters GKE sur VMware vers les versions suivantes ou ultérieures :

• 1.29.0
• 1.28.500
• 1.16.8

Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE sur VMware intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un DoS du plan de contrôle Google Kubernetes Engine (GKE).

Que dois-je faire ?

Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE sur AWS intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un DoS du plan de contrôle Google Kubernetes Engine (GKE).

Que dois-je faire ?

Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque les versions de GKE sur Azure intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Une faille par déni de service (DoS) (CVE-2023-45288) a récemment été détectée dans plusieurs implémentations du protocole HTTP/2, y compris le serveur HTTP golang utilisé par Kubernetes. Cette faille peut entraîner un DoS du plan de contrôle Google Kubernetes Engine (GKE).

Que dois-je faire ?

Mise à jour du 09/07/2024 : ajout de versions de correctif pour GKE on Bare Metal.

Les versions suivantes de GKE on Bare Metal incluent du code pour corriger cette faille. Mettez à niveau vos clusters GKE on Bare Metal vers les versions suivantes ou ultérieures :

• 1.29.100
• 1.28.600
• 1.16.9

Le projet golang a publié des correctifs le 3 avril 2024. Nous mettrons à jour ce bulletin lorsque des versions de GKE on Bare Metal intégrant ces correctifs seront disponibles. Pour demander un correctif dans un délai accéléré, contactez l'assistance.

Quelles failles ce correctif permet-il de résoudre ?

La faille (CVE-2023-45288) permet à un pirate informatique d'exécuter une attaque DoS sur le plan de contrôle Kubernetes.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Mise à jour du 06/05/2024 : les versions suivantes de GKE sont mises à jour avec du code pour corriger cette faille dans Ubuntu. Mettez à niveau vos pools de nœuds Ubuntu vers les versions suivantes ou ultérieures.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Mise à jour du 04/04/2024 : correction des versions minimales pour les pools de nœuds GKE Container-Optimized OS.

Les versions minimales de GKE contenant les correctifs pour Container-Optimized OS listés précédemment étaient incorrectes. Les versions suivantes de GKE ont été mises à jour avec du code pour corriger cette faille sur Container-Optimized OS. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-1085

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3611

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3776

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-3610

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2024-0193

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6932

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Les clusters GKE Standard sont concernés. Les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés, mais peuvent être vulnérables si vous définissez explicitement le profil seccomp Unconfined ou si vous autorisez CAP_NET_ADMIN.

Les clusters utilisant GKE Sandbox ne sont pas concernés.

Que dois-je faire ?

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Container-Optimized OS vers l'une des versions de correctif suivantes ou ultérieures :

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Les versions mineures suivantes sont concernées. Mettez à niveau vos pools de nœuds Ubuntu vers l'une des versions de correctif suivantes ou une version ultérieure :

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Que dois-je faire ?

Mise à jour du 17/04/2024: Ajout de versions de correctif pour GKE sur VMware.

Les versions suivantes de GKE sur VMware sont mises à jour avec du code pour corriger cette faille. Mettez à niveau vos clusters vers les versions suivantes ou ultérieures :

• 1.28.200
• 1.16.6
• 1.15.10

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Que dois-je faire ?

Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation de privilèges sur les nœuds Container-Optimized OS et Ubuntu :

• CVE-2023-6931

Que dois-je faire ?

Aucune action n'est requise. GKE on Bare Metal n'est pas affecté, car il n'intègre pas de système d'exploitation dans sa distribution.

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

Les clusters GKE Standard exécutant des nœuds Windows Server et utilisant un plug-in de stockage intégré peuvent être concernés.

Les clusters GKE Autopilot et les pools de nœuds GKE utilisant GKE Sandbox ne sont pas affectés, car ils ne sont pas compatibles avec les nœuds Windows Server.

Que dois-je faire ?

Déterminez si des nœuds Windows Server sont utilisés sur vos clusters :

kubectl get nodes -l kubernetes.io/os=windows

Consultez les journaux d'audit pour détecter des preuves d'exploitation. Les journaux d'audit Kubernetes peuvent être audités pour déterminer si cette faille est exploitée. Les événements de création de volumes persistants avec des champs de chemin d'accès local contenant des caractères spéciaux sont une forte indication d'exploitation.

Mettez à jour votre cluster et vos pools de nœuds GKE vers une version corrigée. Les versions suivantes de GKE ont été mises à jour pour corriger cette faille. Même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds Windows Server vers l'une des versions GKE suivantes ou une version ultérieure :

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Vous pouvez appliquer des versions de correctif provenant de versions disponibles plus récentes si votre cluster exécute la même version mineure dans sa propre version disponible. Cette fonctionnalité vous permet de sécuriser vos nœuds jusqu'à ce que la version corrigée devienne la version par défaut de votre version disponible. Pour en savoir plus, consultez la section Exécuter des versions de correctif à partir d'un canal plus récent.

Quelles failles ce correctif permet-il de résoudre ?

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds.

Les clusters GKE sur VMware exécutant des nœuds Windows Server et utilisant un plug-in de stockage intégré peuvent être concernés.

Que dois-je faire ?

Déterminez si des nœuds Windows Server sont utilisés sur vos clusters :

kubectl get nodes -l kubernetes.io/os=windows

Consultez les journaux d'audit pour détecter des preuves d'exploitation. Les journaux d'audit Kubernetes peuvent être audités pour déterminer si cette faille est exploitée. Les événements de création de volumes persistants avec des champs de chemin d'accès local contenant des caractères spéciaux sont une forte indication d'exploitation.

Mettez à jour votre cluster GKE sur VMware et vos pools de nœuds vers une version corrigée. Les versions suivantes de GKE sur VMware ont été mises à jour pour corriger cette faille. Même si la mise à niveau automatique des nœuds est activée, nous vous recommandons de mettre à niveau manuellement votre cluster et vos pools de nœuds Windows Server vers l'une des versions de GKE sur VMware suivantes ou une version ultérieure :

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41