Buletin keamanan

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-38001

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.33.1-gke.1959000
• 1.30.12-gke.1279000
• 1.31.9-gke.1287000
• 1.28.15-gke.2428000
• 1.29.15-gke.1549000
• 1.32.4-gke.1698000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-38001

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-38001

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-38001

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-38001

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37997

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.15-gke.2403000
• 1.31.9-gke.1176000
• 1.30.12-gke.1246000
• 1.29.15-gke.1523000
• 1.33.1-gke.1545000
• 1.27.16-gke.2874000
• 1.32.4-gke.1603000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37997

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37997

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37997

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37997

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-38000

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.33.1-gke.1545000
• 1.27.16-gke.2874000
• 1.32.4-gke.1603000
• 1.28.15-gke.2403000
• 1.30.12-gke.1246000
• 1.31.9-gke.1176000
• 1.29.15-gke.1523000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-38000

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-38000

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-38000

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-38000

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Masalah keamanan ditemukan saat penyerang mungkin dapat melewati batasan isolasi workload pada cluster GKE. Hanya cluster yang mengandalkan isolasi node untuk memisahkan workload di dalam cluster yang terpengaruh. Perhatikan bahwa isolasi node tidak boleh digunakan sebagai batas keamanan utama.

Untuk mengeksploitasi kerentanan ini, penyerang harus mendapatkan akses ke kredensial klien node kubelet terlebih dahulu. Akses ke kredensial ini biasanya memerlukan izin root di host dan akses ke sistem file host. Untuk sebagian besar sistem, ini berarti Anda memerlukan kerentanan aplikasi untuk mendapatkan akses ke beban kerja dan kerentanan keluar dari container untuk mendapatkan akses ke host. Penyerang yang memiliki akses ke kredensial tersebut dapat melakukan hal berikut:

• Penyerang dapat mendaftarkan ulang node dengan nama yang sama, tetapi dengan nilai yang berbeda untuk kolom tertentu dalam objek Node. Secara khusus, penyerang dapat menyetel .spec.providerID agar mengarah ke instance lain dalam cluster, sehingga menyebabkan bidang kontrol GKE menghapus instance Compute Engine yang dirujuk.
• Penyerang juga dapat mengubah .spec.taints untuk memengaruhi penjadwalan beban kerja. Saat menerapkan isolasi node sebagai kontrol keamanan, Anda harus menggunakan label dan pemilih label dengan awalan node-restriction.kubernetes.io/ untuk mencegah node yang disusupi memanipulasi perilaku penjadwalan.

Apa yang harus saya lakukan?

Terapkan perubahan berikut untuk mengatasi masalah ini:

Atasi masalah ID penyedia dengan mengupgrade cluster GKE Anda ke versi yang telah di-patch. Versi GKE berikut atau yang lebih baru telah diupdate untuk mengatasi masalah providerID:

• 1.33.1-gke.1386000
• 1.32.4-gke.1533000
• 1.31.9-gke.1119000
• 1.30.12-gke.1208000

Atau, jika Anda tidak dapat mengupgrade, terapkan kebijakan penerimaan yang memvalidasi berikut di cluster Anda untuk mengurangi masalah providerID:

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicy
metadata:
  name: validate-node-providerid
spec:
  failurePolicy: Fail
  matchConstraints:
    resourceRules:
    - apiGroups:   [""]
      apiVersions: ["v1"]
      operations:  ["CREATE", "UPDATE"]
      resources:   ["nodes"]
  matchConditions:
  - name: "has-providerid"
    expression: "has(object.spec.providerID)"
  validations:
  - expression: "object.spec.providerID == '' || object.spec.providerID.endsWith('/' + object.metadata.name)"
    message: "node.spec.providerID must match the node name"
---
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicyBinding
metadata:
  name: validate-node-providerid-binding
spec:
  policyName: validate-node-providerid
  validationActions: [Deny]

Menggunakan label yang dibatasi node saat mengisolasi workload ke node tertentu sebagai kontrol keamanan

Jika Anda menggunakan label untuk isolasi node, seperti yang dijelaskan dalam dokumentasi Kubernetes, gunakan label yang dibatasi node (misalnya, label dalam bentuk node-restriction.kubernetes.io/example-constraint) dalam istilah afinitas node dan pemilih node yang digunakan untuk isolasi beban kerja.

Kredensial node Kubelet dicegah agar tidak menerapkan label tersebut oleh pengontrol penerimaan NodeRestriction. Pengontrol penerimaan NodeRestriction sudah ada di Kubernetes dan diaktifkan di semua cluster GKE.

GKE membatasi cakupan kredensial node pada node yang baru dibuat untuk cluster baru

Sebagai langkah pengamanan tambahan, cluster baru mulai dari GKE versi 1.33.1-gke.1386000 membatasi cakupan kredensial node pada node yang baru dibuat. Kredensial node terikat ke instance Compute Engine yang awalnya disediakan untuk Node. Setelah instance dihapus, penyerang dicegah menggunakan kredensial yang disusupi tersebut untuk mendaftarkan Node, dengan nilai providerID atau taint yang dikontrol penyerang. Anda dapat membuat cluster baru dengan versi 1.33.1-gke.1386000 atau yang lebih baru agar node yang baru dibuat memiliki penguatan tambahan ini.

Masalah keamanan ditemukan saat penyerang mungkin dapat melewati batasan isolasi workload pada cluster GKE.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan. Masalah ini khusus untuk cara node GKE disediakan dan dikelola di Compute Engine, dan tidak berlaku untuk GDC (VMware).

Masalah keamanan ditemukan saat penyerang mungkin dapat melewati batasan isolasi workload pada cluster GKE.

Apa yang harus saya lakukan?

GKE di AWS

Tindakan tidak diperlukan. Masalah ini khusus untuk cara node GKE disediakan dan dikelola di Compute Engine, dan tidak berlaku untuk GKE di AWS.

GKE di AWS (generasi sebelumnya)

Tindakan tidak diperlukan. Masalah ini khusus untuk cara node GKE disediakan dan dikelola di Compute Engine, dan tidak berlaku untuk GKE di AWS (generasi sebelumnya).

Masalah keamanan ditemukan saat penyerang mungkin dapat melewati batasan isolasi workload pada cluster GKE.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan. Masalah ini khusus untuk cara node GKE disediakan dan dikelola di Compute Engine, dan tidak berlaku untuk GKE di Azure.

Masalah keamanan ditemukan saat penyerang mungkin dapat melewati batasan isolasi workload pada cluster GKE.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan. Masalah ini khusus untuk cara node GKE disediakan dan dikelola di Compute Engine, dan tidak berlaku untuk GDC (bare metal).

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37798

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.29.15-gke.1415000
• 1.30.12-gke.1168000
• 1.31.9-gke.1044000
• 1.27.16-gke.2771000
• 1.28.15-gke.2303000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37798

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37798

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37798

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37798

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37797

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.32.4-gke.1415000
• 1.28.15-gke.2303000
• 1.27.16-gke.2820000
• 1.33.1-gke.1107000
• 1.29.15-gke.1415000
• 1.31.9-gke.1044000
• 1.30.12-gke.1168000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37797

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37797

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37797

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-37797

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21702

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

22-05-2025: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu GKE Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.29.15-gke.1193000
• 1.30.11-gke.1157000
• 1.31.7-gke.1265000
• 1.32.3-gke.1785000
• 1.28.15-gke.2072000
• 1.27.16-gke.2650000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21702

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21702

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21702

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21702

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21971

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 02-06-2025: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu GKE Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.2820000
• 1.28.15-gke.2303000
• 1.29.15-gke.1415000
• 1.30.12-gke.1168000
• 1.31.9-gke.1044000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.15-gke.2142000
• 1.30.11-gke.1157000
• 1.31.7-gke.1265000
• 1.32.3-gke.1785000
• 1.29.15-gke.1193000
• 1.27.16-gke.2682000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21971

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21971

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21971

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21971

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2025-21701

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

22-05-2025: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu GKE Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.2440000
• 1.28.15-gke.1844000
• 1.29.14-gke.1018000
• 1.30.10-gke.1042000
• 1.31.6-gke.1020000
• 1.32.1-gke.1729000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2025-21701

Apa yang harus saya lakukan?

Update 26-06-2025: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.32.0-gke.1087
• 1.31.300-gke.81
• 1.30.700-gke.56

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2025-21701

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2025-21701

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2025-21701

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2025-40364

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.2573000
• 1.28.15-gke.2003000
• 1.29.15-gke.1017000
• 1.30.10-gke.1227000
• 1.31.6-gke.1221000
• 1.32.2-gke.1652000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2025-40364

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2025-40364

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2025-40364

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2025-40364

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21756

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

22-05-2025: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu GKE Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.31.6-gke.1221000
• 1.30.11-gke.1093000
• 1.29.15-gke.1134000
• 1.27.16-gke.2650000
• 1.32.3-gke.1170000
• 1.28.15-gke.2097000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21756

Apa yang harus saya lakukan?

Update 05-05-2025: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware Anda ke versi berikut atau yang lebih baru:

• 1.31.400-gke.110
• 1.29.1300-gke.98

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21756

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21756

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21756

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2023-52927

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

22-05-2025: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu GKE Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.31.6-gke.1064000
• 1.28.15-gke.2097000
• 1.32.2-gke.1652000
• 1.27.16-gke.2650000
• 1.29.15-gke.1134000
• 1.30.11-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2023-52927

Apa yang harus saya lakukan?

Update 29-04-2025: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware Anda ke versi berikut atau yang lebih baru:

• 1.31.400-gke.110
• 1.30.800-gke.66

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2023-52927

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2023-52927

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2023-52927

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21700

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

22-05-2025: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu GKE Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.32.2-gke.1652000
• 1.28.15-gke.1844000
• 1.30.10-gke.1070000
• 1.31.6-gke.1064000
• 1.27.16-gke.2451000
• 1.29.14-gke.1067000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21700

Apa yang harus saya lakukan?

Update 17-04-2025: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware Anda ke versi berikut atau yang lebih baru:

• 1.30.600-gke.68
• 1.29.1100-gke.82
• 1.31.300-gke.81

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21700

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21700

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21700

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21703

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

22-05-2025: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu GKE Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.32.3-gke.1170000
• 1.29.15-gke.1017000
• 1.27.16-gke.2573000
• 1.28.15-gke.2003000
• 1.30.10-gke.1227000
• 1.31.6-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21703

Apa yang harus saya lakukan?

Update 05-05-2025: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware Anda ke versi berikut atau yang lebih baru:

• 1.29.1300-gke.98
• 1.31.300-gke.81
• 1.30.800-gke.66

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21703

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21703

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2025-21703

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Beberapa masalah keamanan telah ditemukan di NGINX Ingress Controller, ingress-nginx, komponen software open source yang berjalan di dalam cluster Kubernetes untuk membantu mengelola traffic jaringan yang masuk ke cluster. Yang paling penting adalah CVE-2025-1974. Untuk mengetahui detail selengkapnya dan daftar lengkapnya, lihat feed CVE Kubernetes.

Masalah ini memengaruhi ingress-nginx. Jika Anda tidak menginstal ingress-nginx di cluster, Anda tidak akan terpengaruh.

Cluster GKE tidak menggunakan ingress-nginx, dan tidak terpengaruh oleh masalah keamanan ini kecuali jika Anda telah menginstal ingress-nginx di cluster Anda. Jika Anda telah menginstal ingress-nginx di cluster GKE, Anda mungkin rentan terhadap masalah keamanan ini.

Dengan menggunakan CVE-2025-1974, penyerang yang tidak diautentikasi dengan akses ke jaringan Pod dapat melakukan eksekusi kode arbitrer dalam konteks pengontrol ingress-nginx. Hal ini dapat menyebabkan pengungkapan Rahasia yang dapat diakses oleh pengontrol. Saat menggunakan konfigurasi default ingress-nginx, pengontrol dapat mengakses semua Secret di seluruh cluster.

Apa yang harus saya lakukan?

1. Periksa apakah cluster GKE Anda menggunakan ingress-nginx dengan menggunakan salah satu perintah berikut:

   • Memeriksa cluster tertentu:

     kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

   • Periksa beberapa cluster sekaligus menggunakan kueri penelusuran resource Inventaris Aset Cloud:

     gcloud asset search-all-resources \
         --scope='organizations/ORGANIZATION_ID' \
         --asset-types='k8s.io/Pod' \
         --query='labels."app.kubernetes.io/name"="ingress-nginx"'

     Ganti ORGANIZATION_ID dengan ID resource organisasi Anda. Untuk mengetahui detailnya, lihat Mendapatkan ID resource organisasi Anda.

2. Upgrade ingress-nginx ke versi yang telah di-patch. Untuk mengetahui detailnya, lihat feed CVE Kubernetes resmi.

3. Baca tentang menyesuaikan isolasi jaringan di GKE.

   Untuk mengurangi risiko dari jaringan yang tidak tepercaya, pertimbangkan untuk menggunakan node pribadi dan pastikan Anda telah menerapkan konfigurasi firewall yang ketat.

Beberapa masalah keamanan telah ditemukan di NGINX Ingress Controller, ingress-nginx, komponen software open source yang berjalan di dalam cluster Kubernetes untuk membantu mengelola traffic jaringan yang masuk ke cluster. Yang paling penting adalah CVE-2025-1974. Untuk mengetahui detail selengkapnya dan daftar lengkapnya, lihat feed CVE Kubernetes.

Masalah ini memengaruhi ingress-nginx. Jika Anda tidak menginstal ingress-nginx di cluster, Anda tidak akan terpengaruh.

Software GDC untuk cluster VMware tidak menggunakan ingress-nginx, dan tidak terpengaruh oleh masalah keamanan ini kecuali jika Anda telah menginstal ingress-nginx di cluster Anda. Jika Anda telah menginstal ingress-nginx di cluster software GDC untuk VMware, Anda mungkin rentan terhadap masalah keamanan ini.

Dengan menggunakan CVE-2025-1974, penyerang yang tidak diautentikasi dengan akses ke jaringan Pod dapat melakukan eksekusi kode arbitrer dalam konteks pengontrol ingress-nginx. Hal ini dapat menyebabkan pengungkapan Rahasia yang dapat diakses oleh pengontrol. Saat menggunakan konfigurasi default ingress-nginx, pengontrol dapat mengakses semua Secret di seluruh cluster.

Apa yang harus saya lakukan?

1. Periksa apakah software GDC untuk cluster VMware Anda menggunakan ingress-nginx:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Upgrade ingress-nginx ke versi yang telah di-patch. Untuk mengetahui detailnya, lihat feed CVE Kubernetes resmi.

Beberapa masalah keamanan telah ditemukan di NGINX Ingress Controller, ingress-nginx, komponen software open source yang berjalan di dalam cluster Kubernetes untuk membantu mengelola traffic jaringan yang masuk ke cluster. Yang paling penting adalah CVE-2025-1974. Untuk mengetahui detail selengkapnya dan daftar lengkapnya, lihat feed CVE Kubernetes.

Masalah ini memengaruhi ingress-nginx. Jika Anda tidak menginstal ingress-nginx di cluster, Anda tidak akan terpengaruh.

Cluster GKE di AWS tidak menggunakan ingress-nginx, dan tidak terpengaruh oleh masalah keamanan ini kecuali jika Anda telah menginstal ingress-nginx di cluster Anda. Jika Anda telah menginstal ingress-nginx di cluster GKE di AWS, Anda mungkin rentan terhadap masalah keamanan ini.

Dengan menggunakan CVE-2025-1974, penyerang yang tidak diautentikasi dengan akses ke jaringan Pod dapat melakukan eksekusi kode arbitrer dalam konteks pengontrol ingress-nginx. Hal ini dapat menyebabkan pengungkapan Rahasia yang dapat diakses oleh pengontrol. Saat menggunakan konfigurasi default ingress-nginx, pengontrol dapat mengakses semua Secret di seluruh cluster.

Apa yang harus saya lakukan?

1. Periksa apakah cluster GKE on AWS Anda menggunakan ingress-nginx:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Upgrade ingress-nginx ke versi yang telah di-patch. Untuk mengetahui detailnya, lihat feed CVE Kubernetes resmi.

Beberapa masalah keamanan telah ditemukan di NGINX Ingress Controller, ingress-nginx, komponen software open source yang berjalan di dalam cluster Kubernetes untuk membantu mengelola traffic jaringan yang masuk ke cluster. Yang paling penting adalah CVE-2025-1974. Untuk mengetahui detail selengkapnya dan daftar lengkapnya, lihat feed CVE Kubernetes.

Masalah ini memengaruhi ingress-nginx. Jika Anda tidak menginstal ingress-nginx di cluster, Anda tidak akan terpengaruh.

Cluster GKE di Azure tidak menggunakan ingress-nginx, dan tidak terpengaruh oleh masalah keamanan ini kecuali jika Anda telah menginstal ingress-nginx di cluster Anda. Jika Anda telah menginstal ingress-nginx di cluster GKE di Azure, Anda mungkin rentan terhadap masalah keamanan ini.

Dengan menggunakan CVE-2025-1974, penyerang yang tidak diautentikasi dengan akses ke jaringan Pod dapat melakukan eksekusi kode arbitrer dalam konteks pengontrol ingress-nginx. Hal ini dapat menyebabkan pengungkapan Rahasia yang dapat diakses oleh pengontrol. Saat menggunakan konfigurasi default ingress-nginx, pengontrol dapat mengakses semua Secret di seluruh cluster.

Apa yang harus saya lakukan?

1. Periksa apakah cluster GKE di Azure Anda menggunakan ingress-nginx:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Upgrade ingress-nginx ke versi yang telah di-patch. Untuk mengetahui detailnya, lihat feed CVE Kubernetes resmi.

Beberapa masalah keamanan telah ditemukan di NGINX Ingress Controller, ingress-nginx, komponen software open source yang berjalan di dalam cluster Kubernetes untuk membantu mengelola traffic jaringan yang masuk ke cluster. Yang paling penting adalah CVE-2025-1974. Untuk mengetahui detail selengkapnya dan daftar lengkapnya, lihat feed CVE Kubernetes.

Masalah ini memengaruhi ingress-nginx. Jika Anda tidak menginstal ingress-nginx di cluster, Anda tidak akan terpengaruh.

Software GDC untuk cluster bare metal tidak menggunakan ingress-nginx, dan tidak terpengaruh oleh masalah keamanan ini kecuali jika Anda telah menginstal ingress-nginx di cluster Anda. Jika Anda telah menginstal ingress-nginx di software GDC untuk cluster bare metal, Anda mungkin rentan terhadap masalah keamanan ini.

Dengan menggunakan CVE-2025-1974, penyerang yang tidak diautentikasi dengan akses ke jaringan Pod dapat melakukan eksekusi kode arbitrer dalam konteks pengontrol ingress-nginx. Hal ini dapat menyebabkan pengungkapan Rahasia yang dapat diakses oleh pengontrol. Saat menggunakan konfigurasi default ingress-nginx, pengontrol dapat mengakses semua Secret di seluruh cluster.

Apa yang harus saya lakukan?

1. Periksa apakah software GDC Anda untuk cluster bare metal menggunakan ingress-nginx:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Upgrade ingress-nginx ke versi yang telah di-patch. Untuk mengetahui detailnya, lihat feed CVE Kubernetes resmi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-53164

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

10-04-2025: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.31.6-gke.1064000
• 1.27.16-gke.2451000
• 1.28.15-gke.1844000
• 1.29.14-gke.1067000
• 1.30.10-gke.1070000
• 1.32.2-gke.1652000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.2451000
• 1.32.2-gke.1182000
• 1.29.14-gke.1067000
• 1.30.10-gke.1070000
• 1.31.6-gke.1064000
• 1.28.15-gke.1844000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-53164

Apa yang harus saya lakukan?

Update 10-04-2025: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware Anda ke versi berikut atau yang lebih baru:

• 1.29.1100-gke.82
• 1.31.200-gke.58
• 1.30.500-gke.126

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-53164

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-53164

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-53164

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-56770

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 02-06-2025: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu GKE Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.2732000
• 1.28.15-gke.2192000
• 1.29.15-gke.1274000
• 1.30.12-gke.1151000
• 1.31.8-gke.1113000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.2387000
• 1.28.15-gke.1612000
• 1.29.13-gke.1006000
• 1.30.8-gke.1261000
• 1.31.5-gke.1023000
• 1.32.1-gke.1729000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-56770

Apa yang harus saya lakukan?

Update 10-04-2025: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware Anda ke versi berikut atau yang lebih baru:

• 1.31.200-gke.58
• 1.30.500-gke.126
• 1.29.1100-gke.82

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-56770

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-56770

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-56770

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Project Envoy baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2024-53269, CVE-2024-53270, dan CVE-2024-53271) yang dapat memungkinkan penyerang membuat Envoy error.

Versi minor GKE 1.31 dan 1.32 yang menggunakan Identity Service untuk GKE terpengaruh. Cluster GKE Autopilot dan cluster yang menggunakan GKE Sandbox juga terpengaruh.

Apa yang harus saya lakukan?

Upgrade cluster dan node pool GKE Anda ke salah satu versi berikut atau yang lebih baru:

• 1.31.3-gke.1162000
• 1.32.0-gke.1448000

Sebaiknya Anda mengupgrade cluster secara manual meskipun Anda telah mengaktifkan upgrade otomatis node.

Fitur terbaru dari saluran rilis memungkinkan Anda menerapkan patch tanpa harus berhenti berlangganan dari saluran. Hal ini memungkinkan Anda mengamankan node hingga versi baru menjadi default untuk saluran rilis tertentu.

Project Envoy baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2024-53269, CVE-2024-53270, dan CVE-2024-53271) yang dapat memungkinkan penyerang membuat Envoy error.

Software GDC untuk VMware versi 1.31, 1.30, dan 1.29 yang menggunakan Cloud Service Mesh versi 1.23.3-asm.3 terpengaruh.

Apa yang harus saya lakukan?

Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster admin dan pengguna ke salah satu versi software GDC untuk VMware berikut:

• 1.31.200
• 1.30.600
• 1.29.1000

Project Envoy baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2024-53269, CVE-2024-53270, dan CVE-2024-53271) yang dapat memungkinkan penyerang membuat Envoy error.

GKE di AWS tidak dilengkapi dengan Envoy dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Project Envoy baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2024-53269, CVE-2024-53270, dan CVE-2024-53271) yang dapat memungkinkan penyerang membuat Envoy error.

GKE di Azure tidak dilengkapi dengan Envoy dan tidak terpengaruh.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun.

Project Envoy baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2024-53269, CVE-2024-53270, dan CVE-2024-53271) yang dapat memungkinkan penyerang membuat Envoy error.

Apa yang harus saya lakukan?

Versi software GDC berikut untuk bare metal telah diupdate dengan kode untuk memperbaiki kerentanan ini. Sebaiknya upgrade cluster Anda ke salah satu versi software GDC berikut untuk versi bare metal:

• 1.31.200-gke.59
• 1.30.600-gke.69
• 1.29.1100-gke.84

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-53141

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.2296000
• 1.28.15-gke.1673000
• 1.29.13-gke.1038000
• 1.30.9-gke.1009000
• 1.31.5-gke.1023000
• 1.32.1-gke.1729000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.2342000
• 1.28.15-gke.1720000
• 1.29.13-gke.1109000
• 1.30.9-gke.1127000
• 1.31.5-gke.1169000
• 1.32.1-gke.1729000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-53141

Apa yang harus saya lakukan?

Update 10-04-2025: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware Anda ke versi berikut atau yang lebih baru:

• 1.31.200-gke.58
• 1.30.600-gke.68
• 1.29.1100-gke.82

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-53141

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-53141

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-53141

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Masalah keamanan ditemukan di Penyedia Google Secret Manager untuk Driver CSI Secret Store. Untuk mengeksploitasi kerentanan ini, penyerang harus dapat melakukan hal berikut:

1. Buat Pod di node tempat driver CSI berjalan.
2. Buat Secret di namespace yang sama dengan Pod tersebut.
3. Pasang volume CSI Secrets Store di Pod dengan opsi nodePublishSecretRef yang ditetapkan.
4. Memberikan konfigurasi Kredensial Default Aplikasi yang berbahaya di Secret.
5. Referensi Secret di opsi nodePublishSecretRef pada pemasangan volume.

Dengan mengikuti langkah-langkah ini, penyerang dapat mengelabui driver CSI agar membocorkan token akun layanan Kubernetes dari driver CSI ke URL yang dikontrol oleh penyerang.

Penyedia Secret Manager dapat digunakan dengan dua cara dengan cluster GKE. Add-on Secret Manager untuk GKE adalah fitur terkelola yang tersedia di cluster GKE. Atau, sebagai pengguna GKE, Anda dapat menginstal Google Secret Manager Provider for Secret Store CSI Driver open source di cluster GKE Anda. Dalam kedua kasus tersebut, penyedia memungkinkan Pod Kubernetes mengakses secret yang disimpan di Google Cloud Secret Manager sebagai file yang di-mount ke Pod sebagai volume.

Perbaikan untuk add-on Secret Manager GKE terkelola dan Penyedia Secret Manager open source menonaktifkan penggunaan nodePublishSecretRef untuk menghindari masalah ini. Hal ini ditentukan tidak akan memengaruhi penggunaan add-on GKE Secret Manager yang ada. Sejumlah kecil cluster GKE yang menggunakan Secret Manager Provider open source dengan nodePublishSecretRef mungkin akan terpengaruh. Patch open source memungkinkan pengaktifan kembali fitur nodePublishSecretRef melalui variabel lingkungan ALLOW_NODE_PUBLISH_SECRET, jika perlu.

Apa yang harus saya lakukan?

Lakukan salah satu hal berikut, bergantung pada cara cluster GKE Anda menggunakan Penyedia Secret Manager:

Add-on Managed GKE Secret Manager

Jika Anda menggunakan add-on GKE terkelola, upgrade cluster GKE Anda ke versi yang telah di-patch. Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node pool Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.2051000
• 1.28.15-gke.1362000
• 1.29.11-gke.1012000
• 1.30.6-gke.1596000
• 1.31.1-gke.1846000

Untuk menerima perbaikan sesegera mungkin, sebaiknya upgrade cluster dan node pool Standar Anda secara manual ke versi GKE yang telah di-patch. Saluran rilis GKE memungkinkan Anda melakukan patch sebelum versi baru menjadi target upgrade otomatis di saluran rilis yang Anda pilih.

Penyedia Secret Manager open source

Jika Anda menggunakan penyedia Secret Manager open source, upgrade ke 1.7.0. Jika Anda menggunakan Helm Chart, versi terbaru sudah merujuk ke 1.7.0. Jika Anda mendasarkan penginstalan langsung pada file deploy/provider-gcp-plugin.yaml, perhatikan bahwa image juga telah diupdate dalam file tersebut.

Kerentanan di Penyedia Google Secret Manager untuk Driver CSI Secret Store memungkinkan penyerang dengan izin pembuatan Pod dan Secret di namespace untuk mengeksfiltrasi token akun layanan Kubernetes driver CSI dengan memasang volume berbahaya di Pod.

Apa yang harus saya lakukan?

Jika Anda telah menginstal Penyedia Secret Manager open source secara manual, Anda mungkin terpengaruh. Lihat petunjuk terkait Penyedia Secret Manager open source di tab GKE.

Cluster GDC (VMware) tidak terpengaruh karena tidak menawarkan add-on terkelola, sehingga tidak diperlukan tindakan lebih lanjut.

Kerentanan di Penyedia Google Secret Manager untuk Driver CSI Secret Store memungkinkan penyerang dengan izin pembuatan Pod dan Secret di namespace untuk mengeksfiltrasi token akun layanan Kubernetes driver CSI dengan memasang volume berbahaya di Pod.

Apa yang harus saya lakukan?

Jika Anda telah menginstal Penyedia Secret Manager open source secara manual, Anda mungkin terpengaruh. Lihat petunjuk terkait Penyedia Secret Manager open source di tab GKE.

Cluster GKE di AWS tidak terpengaruh karena tidak menawarkan add-on terkelola, sehingga tidak diperlukan tindakan lebih lanjut.

Kerentanan di Penyedia Google Secret Manager untuk Driver CSI Secret Store memungkinkan penyerang dengan izin pembuatan Pod dan Secret di namespace untuk mengeksfiltrasi token akun layanan Kubernetes driver CSI dengan memasang volume berbahaya di Pod.

Apa yang harus saya lakukan?

Jika Anda telah menginstal Penyedia Secret Manager open source secara manual, Anda mungkin terpengaruh. Lihat petunjuk terkait Penyedia Secret Manager open source di tab GKE.

Cluster GKE di Azure tidak terpengaruh karena tidak menawarkan add-on terkelola, sehingga tidak diperlukan tindakan lebih lanjut.

Kerentanan di Penyedia Google Secret Manager untuk Driver CSI Secret Store memungkinkan penyerang dengan izin pembuatan Pod dan Secret di namespace untuk mengeksfiltrasi token akun layanan Kubernetes driver CSI dengan memasang volume berbahaya di Pod.

Apa yang harus saya lakukan?

Jika Anda telah menginstal Penyedia Secret Manager open source secara manual, Anda mungkin terpengaruh. Lihat petunjuk terkait Penyedia Secret Manager open source di tab GKE.

Cluster GDC (bare metal) tidak terpengaruh karena tidak menawarkan add-on terkelola, sehingga tidak diperlukan tindakan lebih lanjut.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-50264

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

23-01-2025: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.2081000
• 1.28.15-gke.1480000
• 1.29.12-gke.1055000
• 1.30.8-gke.1051000
• 1.31.4-gke.1072000
• 1.32.0-gke.1448000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-50264

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-50264

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-50264

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-50264

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-53057

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

23-01-2025: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi berikut atau yang lebih baru:

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.1836000
• 1.28.15-gke.1342000
• 1.29.11-gke.1012000
• 1.30.7-gke.1077000
• 1.31.3-gke.1056000
• 1.32.0-gke.1448000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-53057

Apa yang harus saya lakukan?

Update 22-01-2025: Versi GDC (VMware) berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster GDC (VMware) Anda ke versi berikut atau yang lebih baru:

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-53057

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-53057

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-53057

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Pembaruan 23-01-2025: Memperbarui bagian Resource yang terpengaruh.

8 Januari 2025: Tanggal dan waktu mulai sebenarnya dari masalah ini adalah 4 Desember 2024 pukul 22.47 UTC.

Masalah keamanan terjadi pada 08-12-2024 pukul 13.44 UTC dan diselesaikan pada 04-01-2025 pukul 04.00 UTC. Masalah keamanan ini memengaruhi resource di VPC dengan GKE Multi-Cluster Gateway (MCG) yang dikonfigurasi. MCG adalah fitur opsional yang digunakan oleh sebagian kecil pelanggan GKE. Kami secara terpisah memberi tahu pelanggan yang mengaktifkan fitur tersebut selama jangka waktu tersebut.

Multi-Cluster Gateway (MCG) adalah fitur GKE yang memungkinkan pelanggan melakukan load balancing traffic di beberapa cluster. Untuk menjalankan fungsi tersebut, MCG perlu membuat perubahan pada firewall Google Cloud tingkat project. Error di dalam MCG menyebabkan pembuatan aturan firewall masuk yang mengizinkan traffic TCP ke semua IP (0.0.0.0/0) dan port di dalam VPC. Langkah-langkah telah dilakukan untuk mencegah error jenis ini di masa mendatang.

Karena firewall adalah daftar yang diizinkan tingkat VPC, jenis resource berikut mungkin dapat dijangkau jaringan selama jangka waktu tersebut:

• Aplikasi pelanggan yang berjalan di node pekerja GKE yang dapat diakses melalui IP publik.
• Aplikasi pelanggan yang berjalan di virtual machine (VM) Compute Engine dengan IP publik.
• Semua resource Google Cloud lainnya di VPC yang sama dengan cluster yang memiliki IP publik dan port pendengar.

Node pekerja GKE, VM Compute Engine, dan resource lain yang hanya menggunakan IP pribadi mungkin lebih dapat diakses secara luas dalam VPC-nya, tetapi tidak dapat diakses oleh Internet. Aplikasi yang dilindungi oleh mekanisme berikut akan mengurangi atau menghilangkan eksposur mereka:

• Aturan firewall dengan prioritas yang sama atau lebih tinggi DENY (MCG menetapkan prioritas aturan firewall ke 1000 secara default)
• Service mesh menggunakan otorisasi berbasis identitas
• Otorisasi tingkat aplikasi

Resource yang terpengaruh

23-01-2025: Fleet (atau hub) GKE yang menggunakan MCG di project layanan VPC bersama tidak terpengaruh oleh masalah ini karena aturan firewall tidak dikelola dari project layanan VPC bersama.

Resource yang berada di VPC dengan MCG GKE yang dikonfigurasi dan memproses IP publik terpengaruh. Resource yang terpengaruh mencakup, tetapi tidak terbatas pada, aplikasi yang berjalan di node pekerja GKE.

Apa yang harus saya lakukan?

Masalah ini telah diselesaikan di semua VPC yang terpengaruh dengan memperbaiki konfigurasi firewall yang salah. Aturan yang dibuat karena kesalahan telah otomatis diubah dengan rentang sumber yang sesuai (130.211.0.0/22, 35.191.0.0/16) untuk mengizinkan traffic masuk yang berasal dari infrastruktur health check Google Cloud , dan, secara opsional, rentang subnet khusus proxy Anda untuk Gateway Internal. Untuk mengetahui lebih lanjut aturan firewall yang dibuat secara otomatis oleh MCG di project Anda, lihat Aturan firewall GKE Gateway.

Secara opsional, Anda dapat mengonfirmasi penyelesaian dengan memeriksa aturan firewall terkelola di VPC menggunakan MCG GKE. Pastikan rentang sumber ditetapkan pada aturan firewall terkelola yang menggunakan awalan gkemcg1-l7-. Periksa aturan ini dan konfirmasi bahwa rentang sumber telah ditetapkan.

Untuk mencantumkan aturan firewall yang dikelola MCG di lingkungan saat ini, jalankan perintah berikut:

gcloud compute firewall-rules list --format="json" --filter="name:gkemcg1-l7-*" | jq -r '.[] | "\(.name): \(.sourceRanges // "No source range")"' | awk -F: '{if ($2 ~ /No source range|^\s*$/) print "Rule "$1" has an EMPTY or MISSING source range."; else print "Rule "$1" has source range(s): "$2;}'

Untuk menelusuri log terkait pembaruan pada konfigurasi firewall yang dikelola MCG, gunakan Logs Explorer dengan kueri di bawah:

protoPayload.serviceName="compute.googleapis.com"
          resource.type="gce_firewall_rule"
          protoPayload.resourceName=~"projects/[^/]+/global/firewalls/gkemcg1-"
          -operation.last="true"

Untuk mencantumkan aturan firewall yang dikelola MCG di seluruh organisasi Anda, jalankan perintah berikut untuk membuat kueri Cloud Asset Inventory:

gcloud asset search-all-resources
          --scope='organizations/'
          --asset-types='compute.googleapis.com/Firewall'
          --query 'name: //compute.googleapis.com/projects/*/*/firewalls/gkemcg*'

Kontrol tambahan berikut memberikan pertahanan mendalam terhadap jaringan yang tidak tepercaya dan dapat dipertimbangkan untuk memperkuat postur keamanan:

• Gunakan node GKE pribadi untuk memastikan node Anda hanya mendapatkan IP pribadi.
• Gunakan kebijakan firewall DENY eksplisit jika memungkinkan.
• Gunakan kebijakan firewall hierarkis untuk mengganti konfigurasi firewall tingkat VPC.
• Gunakan Cloud Service Mesh untuk menyediakan autentikasi dan otorisasi.
• Gunakan autentikasi dan otorisasi dalam aplikasi.
• Gunakan Layanan Kebijakan Organisasi untuk memblokir aturan firewall yang mengizinkan semua traffic. Untuk melakukannya, buat batasan untuk menolak semua aturan firewall traffic, lalu terapkan dengan kebijakan.

Sebaiknya tinjau konfigurasi dan log untuk mengidentifikasi aplikasi atau layanan apa pun yang mungkin terekspos selama jangka waktu yang disebutkan sebelumnya dan seharusnya tidak terekspos. Anda dapat menggunakan alat berikut untuk memeriksa traffic masuk ke resource yang berjalan di Google Cloud:

• VPC Flow Logs untuk visibilitas ke throughput dan performa jaringan
• Cloud Logging untuk menelusuri dan menganalisis data dan peristiwa logging dari Google Cloud layanan dan aplikasi yang dikonfigurasi untuk mengirim log
• Firewall Rules Logging untuk mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda
• Security Command Center untuk visibilitas ke temuan keamanan yang menunjukkan aktivitas jaringan mencurigakan
• Log aplikasi Anda

Masalah keamanan ditemukan yang memengaruhi Multi-Cluster Gateway (MCG), fitur GKE yang memungkinkan pelanggan melakukan load balancing traffic di beberapa cluster.

Cluster GDC (VMware) tidak mendukung MCG dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Masalah keamanan ditemukan yang memengaruhi Multi-Cluster Gateway (MCG), fitur GKE yang memungkinkan pelanggan melakukan load balancing traffic di beberapa cluster.

Cluster GKE di AWS tidak mendukung MCG dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Masalah keamanan ditemukan yang memengaruhi Multi-Cluster Gateway (MCG), fitur GKE yang memungkinkan pelanggan melakukan load balancing traffic di beberapa cluster.

Cluster GKE di Azure tidak mendukung MCG dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Masalah keamanan ditemukan yang memengaruhi Multi-Cluster Gateway (MCG), fitur GKE yang memungkinkan pelanggan melakukan load balancing traffic di beberapa cluster.

Cluster GDC (bare metal) tidak mendukung MCG dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tindakan tidak diperlukan.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-46800

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

12-12-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.28.15-gke.1342000
• 1.29.10-gke.1280000
• 1.30.6-gke.1596000
• 1.31.3-gke.1023000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.1576000
• 1.28.14-gke.1217000
• 1.29.9-gke.1496000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-46800

Apa yang harus saya lakukan?

Update 22-01-2025: Versi GDC (VMware) berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster GDC (VMware) Anda ke versi berikut atau yang lebih baru:

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-46800

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-46800

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-46800

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna yang dapat membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas container.

Apa yang harus saya lakukan?

Upgrade cluster dan node pool GKE Anda ke versi yang telah di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Untuk tujuan keamanan, meskipun upgrade otomatis node diaktifkan, sebaiknya upgrade secara manual cluster dan node pool Anda ke versi GKE yang telah di-patch. Saluran rilis GKE memungkinkan Anda melakukan patch tanpa harus berhenti berlangganan atau mengubah saluran rilis. Tindakan ini memungkinkan Anda mengamankan cluster dan node sebelum versi baru menjadi default di saluran rilis yang Anda pilih.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2024-10220 memungkinkan penyerang membuat Pod dan mengaitkan volume gitRepo untuk menjalankan perintah arbitrer di luar batas container.

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna yang dapat membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas container.

Apa yang harus saya lakukan?

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna yang dapat membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas container.

Apa yang harus saya lakukan?

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna yang dapat membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas container.

Apa yang harus saya lakukan?

Masalah keamanan yang ditemukan di cluster Kubernetes dapat menyebabkan eksekusi kode jarak jauh menggunakan volume gitRepo. Jika repositori git dibuat dengan niat jahat, pengguna yang dapat membuat Pod dan mengaitkan volume gitRepo dapat menjalankan perintah arbitrer di luar batas container.

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-45016

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 19-11-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1784000
• 1.28.15-gke.1080000
• 1.29.10-gke.1155000
• 1.30.6-gke.1059000
• 1.31.2-gke.1354000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.1478000
• 1.28.14-gke.1099000
• 1.29.9-gke.1177000
• 1.30.5-gke.1145000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-45016

Apa yang harus saya lakukan?

Update 15-10-2024: Versi GDC (VMware) berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster GDC (VMware) Anda ke versi berikut atau yang lebih baru:

• 1.30.100-gke.96
• 1.29.600-gke.109
• 1.28.1000-gke.59

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-45016

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-45016

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-45016

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Rangkaian kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan dalam sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan penyerang dapat terhubung ke layanan tersebut.

GKE tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Rangkaian kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan dalam sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan penyerang dapat terhubung ke port tersebut.

Software GDC untuk VMware tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Rangkaian kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan dalam sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan penyerang dapat terhubung ke port tersebut.

GKE di AWS tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Rangkaian kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan dalam sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan penyerang dapat terhubung ke layanan tersebut.

GKE di Azure tidak menggunakan sistem pencetakan CUPS dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Rangkaian kerentanan (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) yang dapat menyebabkan eksekusi kode jarak jauh ditemukan dalam sistem pencetakan CUPS yang digunakan oleh beberapa distribusi Linux. Penyerang dapat mengeksploitasi kerentanan ini jika layanan CUPS memproses port UDP 631 dan penyerang dapat terhubung ke port tersebut.

Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows yang BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

Semua lingkungan Kubernetes dengan node Windows terpengaruh. Jalankan kubectl get nodes -l kubernetes.io/os=windows untuk melihat apakah ada node Windows yang sedang digunakan.

Versi GKE yang terpengaruh

• 1.27.15 dan yang lebih lama
• 1.28.11 dan yang lebih lama
• 1.29.6 dan yang lebih lama
• 1.30.2 dan yang lebih lama

Apa yang harus saya lakukan?

Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Untuk tujuan keamanan, meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya upgrade cluster dan node pool secara manual ke salah satu versi GKE berikut atau yang lebih baru:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Dengan fitur ini, Anda dapat mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan apa yang sedang ditangani?

CVE-2024-5321

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows, di mana BUILTIN\Users mungkin dapat membaca log penampung dan AUTHORITY\Authenticated Pengguna mungkin dapat mengubah log penampung.

Semua lingkungan Kubernetes dengan node Windows terpengaruh. Jalankan kubectl get nodes -l kubernetes.io/os=windows untuk melihat apakah ada node Windows yang sedang digunakan.

Apa yang harus saya lakukan?

Versi patch untuk software GDC untuk VMware sedang berlangsung. Kami akan memperbarui buletin ini dengan informasi tersebut saat tersedia.

Kerentanan apa yang sedang ditangani?

CVE-2024-5321

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows yang memungkinkan BUILTIN\Users membaca log penampung dan AUTHORITY\Authenticated Pengguna dapat mengubah log penampung.

Cluster GKE di AWS tidak mendukung node Windows dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows yang memungkinkan BUILTIN\Users membaca log penampung dan AUTHORITY\Authenticated Pengguna dapat mengubah log penampung.

Cluster GKE di Azure tidak mendukung node Windows dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Masalah keamanan ditemukan di cluster Kubernetes dengan node Windows yang memungkinkan BUILTIN\Users membaca log penampung dan AUTHORITY\Authenticated Pengguna dapat mengubah log penampung.

Software GDC untuk cluster bare metal tidak mendukung node Windows dan tidak terpengaruh.

Apa yang harus saya lakukan?

Tidak perlu tindakan

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GKE tidak mendukung IPv6 di Windows dan tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

Software GDC untuk VMware tidak mendukung IPv6 di Windows dan tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GKE di AWS tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GKE on Azure tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan eksekusi kode jarak jauh baru (CVE-2024-38063) telah ditemukan di Windows. Penyerang dapat mengeksploitasi kerentanan ini dari jarak jauh dengan mengirim paket IPv6 yang dibuat khusus ke host.

Apa yang harus saya lakukan?

GDC (bare metal) tidak terpengaruh oleh CVE ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36978

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 01-11-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36978

Apa yang harus saya lakukan?

Update 21-10-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.28.1100-gke.91
• 1.30.200-gke.101
• 1.29.600-gke.109

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36978

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36978

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36978

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-41009

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-41009

Apa yang harus saya lakukan?

Update 25-10-2024: Versi software GDC berikut untuk VMware diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.700-gke.110
• 1.28.1100-gke.91
• 1.30.200-gke.101

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-41009

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-41009

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-41009

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-39503

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-39503

Apa yang harus saya lakukan?

Update 21-10-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-39503

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-39503

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-39503

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

21-08-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Pembaruan 19-09-2024: Versi software GDC berikut untuk VMware diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.400
• 1.28.900

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26925

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

30-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Update 21-10-2024: Versi software GDC berikut untuk VMware diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-36972

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

02-10-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1287000
• 1.28.13-gke.1042000
• 1.29.8-gke.1096000
• 1.30.4-gke.1476000
• 1.30.4-gke.1476000
• 1.31.0-gke.1577000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Pembaruan 20-09-2024: Versi software GDC berikut untuk VMware diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.30.200
• 1.29.500
• 1.28.1000

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26921

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

18-07-2024 Pembaruan: Versi asli buletin ini salah menyatakan bahwa cluster Autopilot terpengaruh. Cluster Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan kemampuan CAP_NET_ADMIN.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26809

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

19-07-2024: Versi GKE berikut berisi kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

16-09-2024: Versi software GDC berikut untuk VMware diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.200
• 1.28.700
• 1.16.11

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Pembaruan 03-07-2024: Peluncuran yang dipercepat sedang berlangsung dan diharapkan dapat menyediakan versi patch baru di semua zona paling lambat 3 Juli 2024 pukul 17.00 Waktu Musim Panas Pasifik AS dan Kanada (UTC-7). Untuk mendapatkan notifikasi segera setelah patch tersedia untuk cluster tertentu, gunakan notifikasi cluster.

Pembaruan 02-07-2024: Kerentanan ini memengaruhi cluster mode Autopilot dan mode Standard. Setiap bagian berikutnya akan memberi tahu Anda mode yang berlaku untuk bagian tersebut.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga memungkinkan penyerang mendapatkan akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Semua versi image Container Optimized OS dan Ubuntu yang didukung di GKE menjalankan versi OpenSSH yang rentan terhadap masalah ini.

Cluster GKE dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani dengan prioritas tertinggi untuk mitigasi.

Bidang kontrol GKE tidak rentan terhadap masalah ini.

Apa yang harus saya lakukan?

03-07-2024: Versi patch untuk GKE

Peluncuran yang dipercepat sedang berlangsung dan diharapkan dapat menyediakan versi patch baru di semua zona paling lambat 3 Juli 2024 pukul 17.00 Waktu Musim Panas Pasifik AS dan Kanada (UTC-7).

Cluster dan node yang mengaktifkan upgrade otomatis akan mulai diupgrade seiring berjalannya minggu, tetapi karena keparahan kerentanan ini, sebaiknya lakukan upgrade secara manual seperti berikut untuk mendapatkan patch secepat mungkin.

Untuk cluster Autopilot dan Standard, upgrade bidang kontrol Anda ke versi yang telah di-patch. Selain itu, untuk cluster mode Standard, upgrade node pool Anda ke versi yang telah di-patch. Cluster Autopilot akan mulai mengupgrade node Anda agar sesuai dengan versi bidang kontrol sesegera mungkin.

Versi GKE yang di-patch tersedia untuk setiap versi yang didukung guna meminimalkan perubahan yang diperlukan untuk menerapkan patch. Nomor versi setiap versi baru adalah penambahan pada digit terakhir dalam nomor versi dari versi yang ada yang sesuai. Misalnya, jika Anda menggunakan 1.27.14-gke.1100000, Anda akan mengupgrade ke 1.27.14-gke.1100002 untuk mendapatkan perbaikan dengan perubahan terkecil. Versi GKE yang di-patch berikut tersedia:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Untuk memeriksa apakah patch tersedia di zona atau region cluster Anda, jalankan perintah berikut:

gcloud container get-server-config --location=LOCATION

Ganti LOCATION dengan zona atau region Anda.

02-07-2024: Cluster mode Autopilot dan Standard harus diupgrade sesegera mungkin setelah versi patch tersedia.

Versi GKE yang di-patch dan menyertakan OpenSSH yang diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Untuk menerima notifikasi Pub/Sub saat patch tersedia untuk saluran Anda, aktifkan notifikasi cluster. Sebaiknya lakukan langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan terapkan mitigasi yang dijelaskan, jika perlu.

Menentukan apakah node Anda memiliki alamat IP publik

02-07-2024: Bagian ini berlaku untuk cluster Autopilot dan Standard.

Jika cluster dibuat dengan enable-private-nodes, node akan bersifat pribadi, yang mengurangi kerentanan dengan menghilangkan eksposur ke Internet. Jalankan perintah berikut untuk menentukan apakah cluster Anda telah mengaktifkan node pribadi:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Jika nilai yang ditampilkan adalah True, semua node adalah node pribadi untuk cluster ini dan kerentanan telah diatasi. Jika nilainya kosong atau salah (false), lanjutkan untuk menerapkan salah satu mitigasi di bagian berikut.

Untuk menemukan semua cluster yang awalnya dibuat dengan node publik, gunakan kueri Inventaris Aset Cloud ini di project atau organisasi:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Melarang SSH ke node cluster

02-07-2024: Bagian ini berlaku untuk cluster Autopilot dan Standard.

Jaringan default sudah diisi dengan default-allow-ssh aturan firewall untuk mengizinkan akses SSH dari Internet publik. Untuk menghapus akses ini, Anda dapat:

• Secara opsional, buat aturan untuk mengizinkan akses SSH yang Anda butuhkan dari jaringan tepercaya ke node GKE atau VM Compute Engine lainnya dalam project.
• Nonaktifkan aturan firewall default dengan perintah berikut:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Jika Anda telah membuat aturan firewall lain yang dapat mengizinkan SSH melalui TCP di port 22, nonaktifkan aturan tersebut, atau batasi IP sumber ke jaringan tepercaya.

Pastikan Anda tidak lagi dapat melakukan SSH ke node cluster dari Internet. Konfigurasi firewall ini mengurangi kerentanan.

Mengonversi node pool publik menjadi pribadi

Pembaruan 02-07-2024: Untuk cluster Autopilot yang awalnya dibuat sebagai cluster publik, Anda dapat menempatkan workload di node pribadi dengan menggunakan nodeSelector. Namun, node Autopilot yang menjalankan workload sistem pada cluster yang awalnya dibuat sebagai cluster publik akan tetap menjadi node publik dan harus dilindungi dengan menggunakan perubahan firewall yang dijelaskan di bagian sebelumnya.

Untuk melindungi cluster yang awalnya dibuat dengan node publik secara optimal, sebaiknya larang SSH melalui firewall terlebih dahulu seperti yang telah dijelaskan. Jika Anda tidak dapat menolak SSH melalui aturan firewall, Anda dapat mengonversi node pool publik di cluster GKE Standard menjadi pribadi dengan mengikuti panduan ini untuk mengisolasi node pool.

Mengubah konfigurasi SSHD

02-07-2024: Bagian ini hanya berlaku untuk cluster Standard. Workload Autopilot tidak diizinkan untuk mengubah konfigurasi node.

Jika tidak ada mitigasi yang dapat diterapkan, kami juga telah memublikasikan daemonset yang menyetel SSHD LoginGraceTime ke nol, dan memulai ulang daemon SSH. Daemonset ini dapat diterapkan ke cluster untuk memitigasi serangan. Perhatikan bahwa konfigurasi ini dapat meningkatkan risiko serangan penolakan layanan dan dapat menyebabkan masalah pada akses SSH yang sah. Daemonset ini harus dihapus setelah patch diterapkan.

Update 11-07-2024: Versi software GDC berikut untuk VMware telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade workstation admin, cluster admin, dan cluster pengguna (termasuk node pool) ke salah satu versi berikut atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade cluster atau node pool.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

Update 2024-07-02 pada buletin ini secara keliru menyatakan bahwa semua versi image Ubuntu yang didukung di software GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini. Image Ubuntu di software GDC untuk cluster VMware versi 1.16 menjalankan OpenSSH versi yang tidak rentan terhadap masalah ini. Image Ubuntu di software GDC untuk VMware 1.28 dan 1.29 rentan. Image Container-Optimized OS di semua versi software GDC untuk VMware yang didukung rentan terhadap masalah ini.

Pembaruan 02-07-2024: Semua versi image Container-Optimized OS dan Ubuntu yang didukung di software GDC untuk VMware menjalankan versi OpenSSH yang rentan terhadap masalah ini.

Software GDC untuk cluster VMware dengan alamat IP node publik dan SSH yang terekspos ke Internet harus ditangani dengan prioritas mitigasi tertinggi.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga memungkinkan penyerang mendapatkan akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

Update 02-07-2024: Software GDC yang di-patch untuk versi VMware yang menyertakan OpenSSH yang diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya Anda menerapkan mitigasi berikut sesuai kebutuhan.

Melarang SSH ke node cluster

Anda dapat mengubah penyiapan jaringan infrastruktur untuk melarang konektivitas SSH dari sumber yang tidak tepercaya, seperti Internet publik.

Mengubah konfigurasi sshd

Jika Anda tidak dapat menerapkan mitigasi sebelumnya, kami telah memublikasikan DaemonSet yang menyetel LoginGraceTime sshd ke nol dan memulai ulang daemon SSH. DaemonSet ini dapat diterapkan ke cluster untuk memitigasi serangan. Perhatikan bahwa konfigurasi ini dapat meningkatkan risiko serangan penolakan layanan dan dapat menyebabkan masalah pada akses SSH yang sah. Hapus DaemonSet ini setelah patch diterapkan.

Update 11-07-2024: Versi GKE di AWS berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Upgrade bidang kontrol dan node pool GKE di AWS Anda ke salah satu versi yang di-patch ini atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster AWS Anda dan Mengupdate node pool.

Pembaruan 02-07-2024: Semua versi image Ubuntu yang didukung di GKE di AWS menjalankan versi OpenSSH yang rentan terhadap masalah ini.

Cluster GKE di AWS dengan alamat IP node publik dan SSH yang diekspos ke Internet harus ditangani dengan prioritas tertinggi untuk mitigasi.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga memungkinkan penyerang mendapatkan akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

02-07-2024: Versi GKE di AWS yang telah di-patch dan menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya Anda melakukan langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan sesuai kebutuhan.

Menentukan apakah node Anda memiliki alamat IP publik

GKE di AWS tidak menyediakan mesin apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan traffic ke port 22 secara default. Namun, bergantung pada konfigurasi subnet, mesin dapat otomatis mendapatkan alamat IP publik selama penyediaan.

Untuk memeriksa apakah node disediakan dengan alamat IP publik, lihat konfigurasi subnet yang terkait dengan resource kumpulan node AWS Anda.

Melarang SSH ke node cluster

Meskipun GKE di AWS tidak mengizinkan traffic di port 22 pada node apa pun secara default, pelanggan dapat melampirkan grup keamanan tambahan ke node pool, sehingga memungkinkan traffic SSH masuk.

Sebaiknya Anda menghapus atau mempersempit cakupan aturan yang sesuai dari grup keamanan yang diberikan.

Mengonversi node pool publik menjadi pribadi

Untuk melindungi cluster dengan node publik secara optimal, sebaiknya larang terlebih dahulu SSH melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika Anda tidak dapat menonaktifkan SSH melalui aturan grup keamanan, Anda dapat mengonversi node pool publik menjadi pribadi dengan menonaktifkan opsi untuk menetapkan IP publik secara otomatis ke mesin dalam subnet dan menyediakan ulang node pool.

Update 11-07-2024: Versi GKE di Azure berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Upgrade bidang kontrol dan node pool GKE di Azure Anda ke salah satu versi yang di-patch ini atau yang lebih baru. Untuk mengetahui petunjuknya, lihat Mengupgrade versi cluster Azure Anda dan Memperbarui node pool.

02-07-2024 Pembaruan: Semua versi image Ubuntu yang didukung di GKE di Azure menjalankan versi OpenSSH yang rentan terhadap masalah ini.

Cluster GKE di Azure dengan alamat IP node publik dan SSH yang diekspos ke Internet harus ditangani dengan prioritas tertinggi untuk mitigasi.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga memungkinkan penyerang mendapatkan akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

02-07-2024 Update: Versi GKE di Azure yang telah di-patch dan menyertakan OpenSSH yang telah diupdate akan tersedia sesegera mungkin. Buletin ini akan diperbarui saat patch tersedia. Sebaiknya Anda melakukan langkah-langkah berikut untuk memeriksa eksposur cluster Anda, dan menerapkan mitigasi yang dijelaskan sesuai kebutuhan.

Menentukan apakah node Anda memiliki alamat IP publik

GKE di Azure tidak menyediakan mesin apa pun dengan alamat IP publik atau dengan aturan firewall yang mengizinkan traffic ke port 22 secara default. Untuk meninjau konfigurasi Azure Anda guna memeriksa apakah ada alamat IP publik yang dikonfigurasi di cluster GKE di Azure, jalankan perintah berikut:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

Melarang SSH ke node cluster

Meskipun GKE di Azure tidak mengizinkan traffic di port 22 pada node apa pun secara default, pelanggan dapat memperbarui aturan NetworkSecurityGroup ke node pool, sehingga memungkinkan traffic SSH masuk dari internet publik.

Sebaiknya tinjau Network Security Groups (NSG) yang terkait dengan cluster Kubernetes Anda. Jika ada aturan NSG yang mengizinkan traffic masuk tanpa batasan di port 22 (SSH), lakukan salah satu hal berikut:

• Hapus aturan sepenuhnya: Jika akses SSH ke node cluster tidak diperlukan dari internet, hapus aturan untuk menghilangkan potensi vektor serangan.
• Persempit cakupan aturan: Batasi akses masuk di port 22 hanya ke alamat atau rentang IP tertentu yang memerlukannya. Hal ini meminimalkan permukaan yang terekspos untuk potensi serangan.

Mengonversi node pool publik menjadi pribadi

Untuk melindungi cluster dengan node publik secara optimal, sebaiknya larang terlebih dahulu SSH melalui grup keamanan Anda, seperti yang dijelaskan di bagian sebelumnya. Jika Anda tidak dapat menonaktifkan SSH melalui aturan grup keamanan, Anda dapat mengonversi node pool publik menjadi pribadi dengan menghapus alamat IP publik yang terkait dengan VM.

Untuk menghapus alamat IP publik dari VM dan menggantinya dengan konfigurasi alamat IP pribadi, lihat Membatalkan pengaitan alamat IP publik dari VM Azure.

Dampak: Semua koneksi yang ada menggunakan alamat IP publik akan terganggu. Pastikan Anda telah menyiapkan metode akses alternatif, seperti VPN atau Azure Bastion.

Pembaruan 02-07-2024: Versi asli buletin ini untuk software GDC untuk bare metal secara keliru menyatakan bahwa versi patch sedang dalam proses. Software GDC untuk bare metal tidak terpengaruh secara langsung karena tidak mengelola daemon atau konfigurasi SSH sistem operasi. Oleh karena itu, versi patch adalah tanggung jawab penyedia sistem operasi, seperti yang dijelaskan di bagian Apa yang harus saya lakukan?.

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Kerentanan ini mengeksploitasi kondisi persaingan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga memungkinkan penyerang mendapatkan akses root ke node GKE. Pada saat publikasi, eksploitasi diyakini sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Apa yang harus saya lakukan?

Pembaruan 02-07-2024: Hubungi penyedia OS Anda untuk mendapatkan patch bagi sistem operasi yang digunakan dengan software GDC untuk bare metal.

Hingga Anda menerapkan patch vendor OS, pastikan komputer yang dapat dijangkau publik tidak mengizinkan koneksi SSH dari internet. Jika tidak memungkinkan, alternatifnya adalah menyetel LoginGraceTime ke nol dan memulai ulang server sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Perhatikan bahwa perubahan konfigurasi ini dapat meningkatkan risiko serangan penolakan layanan dan dapat menyebabkan masalah pada akses SSH yang sah.

Teks asli 01-07-2024 (lihat pembaruan 02-07-2024 sebelumnya untuk melihat koreksi):

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

20-08-2024: Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Update 25-09-2024: Versi software GDC berikut untuk VMware diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.400
• 1.28.900

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26923

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Update 17-09-2024: Versi software GDC berikut untuk VMware diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.29.400
• 1.28.800
• 1.16.11

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26924

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Software GDC untuk bare metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

18-07-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgrade node pool Container-Optimized OS Anda ke versi patch berikut atau yang lebih baru:

• 1.27.15-gke.1125000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Versi minor berikut terpengaruh, tetapi tidak memiliki versi patch yang tersedia. Kami akan memperbarui buletin ini saat versi patch tersedia:

• 1,26
• 1.27

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26584

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26583

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

10-07-2024 Info Terbaru: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Untuk versi minor 1.26 dan 1.27, upgrade node pool Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26583

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2024-26583

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2022-23222

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2022-23222

Apa yang harus saya lakukan?

Pembaruan 26-09-2024: Versi software GDC berikut untuk VMware diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.28.900-gke.113
• 1.29.400-gke.8

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2022-23222

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2022-23222

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS:

• CVE-2022-23222

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di VMware tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE di VMware tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di AWS tidak menggunakan versi Fluent Bit yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE on AWS tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE di Azure tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE on Azure tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan baru (CVE-2024-4323) telah ditemukan di Fluent Bit yang dapat menyebabkan eksekusi kode jarak jauh. Fluent Bit versi 2.0.7 hingga 3.0.3 terpengaruh.

GKE on Bare Metal tidak menggunakan Fluent Bit versi yang rentan, dan tidak terpengaruh.

Apa yang harus saya lakukan?

GKE on Bare Metal tidak terpengaruh oleh kerentanan ini. Anda tidak perlu melakukan tindakan apa pun.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

18-07-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-52620

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

19-08-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26642

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

22-05-2024 Info Terbaru: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26581

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Pembaruan 09-05-2024: Memperbaiki tingkat keparahan dari Sedang menjadi Tinggi. Buletin asli menyatakan bahwa cluster Autopilot terpengaruh, tetapi hal ini tidak benar. Cluster GKE Autopilot dengan konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 15-05-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Update 25-09-2024: Versi software GDC berikut untuk VMware diperbarui dengan kode untuk memperbaiki kerentanan ini. Upgrade software GDC untuk cluster VMware ke versi berikut atau yang lebih baru:

• 1.28.600
• 1.16.9

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26808

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Pembaruan 09-05-2024: Memperbaiki tingkat keseriusan dari Sedang menjadi Tinggi.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

06-08-2024: Menambahkan versi patch untuk node pool Ubuntu di GKE.

Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade kumpulan node Ubuntu Anda ke versi berikut atau yang lebih baru:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26643

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Cluster GKE Standard dan Autopilot terpengaruh.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

18-07-2024: Versi GKE berikut telah diupdate dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-26585

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan Penolakan Layanan (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa penerapan protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya terpengaruh.

Cluster GKE Autopilot dan Standard terpengaruh.

Apa yang harus saya lakukan?

24-04-2024: Menambahkan versi patch untuk GKE.

Versi GKE berikut menyertakan patch keamanan Golang untuk memperbaiki kerentanan ini. Upgrade cluster GKE Anda ke versi berikut atau yang lebih baru:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE yang menyertakan patch ini tersedia. Untuk meminta patch dalam jangka waktu yang dipercepat, hubungi dukungan.

Lakukan mitigasi dengan mengonfigurasi jaringan yang diizinkan untuk akses bidang kontrol:

Anda dapat memitigasi cluster dari kelas serangan ini dengan mengonfigurasi jaringan yang diizinkan. Ikuti petunjuk untuk mengaktifkan jaringan yang diizinkan untuk cluster yang ada.

Untuk mempelajari lebih lanjut cara jaringan yang diizinkan mengontrol akses ke bidang kontrol, lihat Cara kerja jaringan yang diizinkan. Untuk melihat akses jaringan yang diizinkan secara default, lihat tabel di bagian Akses ke endpoint bidang kontrol.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) ini memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Kerentanan Penolakan Layanan (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa penerapan protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

17-07-2024: Menambahkan versi patch untuk GKE on VMware.

Versi GKE di VMware berikut menyertakan kode untuk memperbaiki kerentanan ini. Upgrade cluster GKE di VMware Anda ke versi berikut atau yang lebih baru:

• 1.29.0
• 1.28.500
• 1.16.8

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di VMware yang menyertakan patch ini tersedia. Untuk meminta patch dalam jangka waktu yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) ini memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Kerentanan Penolakan Layanan (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa penerapan protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di AWS yang menyertakan patch ini tersedia. Untuk meminta patch dalam jangka waktu yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) ini memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Kerentanan Penolakan Layanan (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa penerapan protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di Azure yang menyertakan patch ini tersedia. Untuk meminta patch dalam jangka waktu yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) ini memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Kerentanan Penolakan Layanan (DoS) (CVE-2023-45288) baru-baru ini ditemukan di beberapa penerapan protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS pada bidang kontrol Google Kubernetes Engine (GKE).

Apa yang harus saya lakukan?

09-07-2024: Menambahkan versi patch untuk GKE di Bare Metal.

Versi GKE on Bare Metal berikut menyertakan kode untuk memperbaiki kerentanan ini. Upgrade cluster GKE on Bare Metal Anda ke versi berikut atau yang lebih baru:

• 1.29.100
• 1.28.600
• 1.16.9

Project golang merilis patch pada 3 April 2024. Kami akan memperbarui buletin ini saat versi GKE di Bare Metal yang menyertakan patch ini tersedia. Untuk meminta patch dalam jangka waktu yang dipercepat, hubungi dukungan.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Kerentanan (CVE-2023-45288) ini memungkinkan penyerang menjalankan serangan DoS pada bidang kontrol Kubernetes.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Pembaruan 06-05-2024: Versi GKE berikut telah diperbarui dengan kode untuk memperbaiki kerentanan ini di Ubuntu. Upgrade node pool Ubuntu Anda ke versi berikut atau yang lebih baru.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Pembaruan 04-04-2024: Memperbaiki versi minimum untuk node pool GKE Container-Optimized OS.

Versi GKE minimum yang berisi perbaikan Container-Optimized OS yang tercantum sebelumnya salah. Versi GKE berikut diupdate dengan kode untuk memperbaiki kerentanan ini di Container-Optimized OS. Upgrade node pool Container-Optimized OS Anda ke versi berikut atau yang lebih baru:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-1085

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3611

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3776

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-3610

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2024-0193

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menyetel profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu:

• CVE-2023-6932

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Cluster GKE Standard terpengaruh. Cluster GKE Autopilot dalam konfigurasi default tidak terpengaruh, tetapi mungkin rentan jika Anda secara eksplisit menetapkan profil seccomp Unconfined atau mengizinkan CAP_NET_ADMIN.

Cluster yang menggunakan GKE Sandbox tidak terpengaruh.

Apa yang harus saya lakukan?

Versi minor berikut terpengaruh. Upgrade kumpulan node Container-Optimized OS Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Versi minor berikut terpengaruh. Upgrade node pool Ubuntu Anda ke salah satu versi patch berikut atau yang lebih baru:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

17-04-2024: Menambahkan versi patch untuk GKE di VMware.

Versi GKE di VMware berikut diupdate dengan kode untuk memperbaiki kerentanan ini. Upgrade cluster Anda ke versi berikut atau yang lebih baru:

• 1.28.200
• 1.16.6
• 1.15.10

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Container-Optimized OS dan Ubuntu.

• CVE-2023-6931

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. GKE on Bare Metal tidak terpengaruh karena tidak menggabungkan sistem operasi dalam distribusinya.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Cluster GKE Standard yang menjalankan node Windows Server dan menggunakan plugin penyimpanan dalam hierarki mungkin terpengaruh.

Cluster Autopilot GKE dan node pool GKE yang menggunakan GKE Sandbox tidak terpengaruh karena tidak mendukung node Windows Server.

Apa yang harus saya lakukan?

Tentukan apakah Anda menggunakan node Windows Server di cluster Anda:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk mencari bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat terjadinya eksploitasi.

Update cluster dan node pool GKE Anda ke versi yang telah di-patch. Versi GKE berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade secara manual cluster dan node pool Windows Server ke salah satu versi GKE berikut atau yang lebih baru:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Anda dapat menerapkan versi patch dari saluran rilis yang lebih baru jika cluster Anda menjalankan versi minor yang sama di saluran rilisnya sendiri. Fitur ini memungkinkan Anda mengamankan node hingga versi patch menjadi default di saluran rilis Anda. Untuk mengetahui detailnya, lihat Menjalankan versi patch dari saluran yang lebih baru.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten di node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin di node tersebut.

Cluster GKE di VMware yang menjalankan node Windows Server dan menggunakan plugin penyimpanan dalam struktur mungkin terpengaruh.

Apa yang harus saya lakukan?

Tentukan apakah Anda menggunakan node Windows Server di cluster Anda:

kubectl get nodes -l kubernetes.io/os=windows

Periksa log audit untuk menemukan bukti eksploitasi. Log audit Kubernetes dapat diaudit untuk menentukan apakah kerentanan ini sedang dieksploitasi. Peristiwa pembuatan Volume Persisten dengan kolom jalur lokal yang berisi karakter khusus merupakan indikasi kuat terjadinya eksploitasi.

Update cluster dan node pool GKE di VMware Anda ke versi yang telah di-patch. Versi GKE di VMware berikut telah diupdate untuk memperbaiki kerentanan ini. Meskipun Anda telah mengaktifkan upgrade otomatis node, sebaiknya Anda mengupgrade secara manual cluster dan node pool Windows Server ke salah satu versi GKE di VMware berikut atau yang lebih baru:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41