Bollettini sulla sicurezza

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38001

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.33.1-gke.1959000
• 1.30.12-gke.1279000
• 1.31.9-gke.1287000
• 1.28.15-gke.2428000
• 1.29.15-gke.1549000
• 1.32.4-gke.1698000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38001

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38001

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38001

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38001

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37997

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.28.15-gke.2403000
• 1.31.9-gke.1176000
• 1.30.12-gke.1246000
• 1.29.15-gke.1523000
• 1.33.1-gke.1545000
• 1.27.16-gke.2874000
• 1.32.4-gke.1603000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37997

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37997

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37997

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37997

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38000

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.33.1-gke.1545000
• 1.27.16-gke.2874000
• 1.32.4-gke.1603000
• 1.28.15-gke.2403000
• 1.30.12-gke.1246000
• 1.31.9-gke.1176000
• 1.29.15-gke.1523000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38000

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38000

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38000

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-38000

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

È stato scoperto un problema di sicurezza in cui gli autori degli attacchi potrebbero essere in grado di aggirare le limitazioni dell'isolamento del workload sui cluster GKE. Sono interessati solo i cluster che si basano sull'isolamento dei nodi per separare i workload all'interno di un cluster. Tieni presente che l'isolamento dei nodi non deve mai essere utilizzato come limite di sicurezza principale.

Per sfruttare questa vulnerabilità, gli autori degli attacchi devono prima ottenere l'accesso alle credenziali del client del nodo kubelet. L'accesso a queste credenziali in genere richiede le autorizzazioni di root sull'host e l'accesso al file system dell'host. Per la maggior parte dei sistemi, ciò significa che devi disporre sia di una vulnerabilità dell'applicazione per accedere al carico di lavoro sia di una vulnerabilità di container breakout per accedere all'host. Gli autori di attacchi che hanno accesso a queste credenziali potrebbero:

• Gli autori degli attacchi potrebbero registrare nuovamente il nodo con lo stesso nome, ma con valori diversi per determinati campi dell'oggetto Node. Nello specifico, un malintenzionato potrebbe impostare .spec.providerID in modo che punti a un'altra istanza nel cluster, causando l'eliminazione dell'istanza Compute Engine a cui viene fatto riferimento dal control plane GKE.
• Gli autori degli attacchi potrebbero anche modificare .spec.taints per influire sulla pianificazione del carico di lavoro. Quando implementi l'isolamento dei nodi come controllo di sicurezza, devi utilizzare etichette e selettori di etichette con il prefisso node-restriction.kubernetes.io/ per impedire ai nodi compromessi di manipolare il comportamento di pianificazione.

Che cosa devo fare?

Implementa le seguenti modifiche per risolvere il problema:

Risolvi il problema dell'ID provider eseguendo l'upgrade dei cluster GKE a una versione patchata. Le seguenti versioni di GKE o successive sono state aggiornate per risolvere il problema providerID:

• 1.33.1-gke.1386000
• 1.32.4-gke.1533000
• 1.31.9-gke.1119000
• 1.30.12-gke.1208000

Se non puoi eseguire l'upgrade, implementa il seguente criterio di controllo dell'ammissione di convalida sul tuo cluster per mitigare il problema providerID:

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicy
metadata:
  name: validate-node-providerid
spec:
  failurePolicy: Fail
  matchConstraints:
    resourceRules:
    - apiGroups:   [""]
      apiVersions: ["v1"]
      operations:  ["CREATE", "UPDATE"]
      resources:   ["nodes"]
  matchConditions:
  - name: "has-providerid"
    expression: "has(object.spec.providerID)"
  validations:
  - expression: "object.spec.providerID == '' || object.spec.providerID.endsWith('/' + object.metadata.name)"
    message: "node.spec.providerID must match the node name"
---
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicyBinding
metadata:
  name: validate-node-providerid-binding
spec:
  policyName: validate-node-providerid
  validationActions: [Deny]

Utilizza le etichette con limitazioni dei nodi quando isoli i carichi di lavoro in nodi specifici come controllo di sicurezza

Se utilizzi le etichette per l'isolamento dei nodi, come descritto nella documentazione di Kubernetes, utilizza le etichette con limitazioni dei nodi (ad esempio, etichette del modulo node-restriction.kubernetes.io/example-constraint) nei termini di affinità dei nodi e del selettore dei nodi utilizzati per l'isolamento dei workload.

Le credenziali del nodo Kubelet non possono applicare queste etichette a causa del controller di ammissione NodeRestriction. Il controller di ammissione NodeRestriction è integrato in Kubernetes ed è abilitato su tutti i cluster GKE.

GKE limita l'ambito delle credenziali dei nodi sui nodi appena creati per i nuovi cluster

Come ulteriore misura di hardening, i nuovi cluster a partire dalla versione GKE 1.33.1-gke.1386000 limitano l'ambito delle credenziali dei nodi sui nodi appena creati. Le credenziali del nodo sono associate all'istanza Compute Engine originariamente sottoposta a provisioning per il nodo. Una volta eliminata l'istanza, gli autori degli attacchi non possono utilizzare queste credenziali compromesse per registrare il nodo con taint o valori providerID controllati dall'autore dell'attacco. Puoi creare un nuovo cluster con la versione 1.33.1-gke.1386000 o successive per fare in modo che i nodi appena creati abbiano questo ulteriore rafforzamento.

È stato scoperto un problema di sicurezza in cui gli autori degli attacchi potrebbero essere in grado di aggirare le limitazioni dell'isolamento del workload sui cluster GKE.

Che cosa devo fare?

Non occorre alcun intervento. Questo problema è specifico del modo in cui i nodi GKE vengono sottoposti a provisioning e gestiti su Compute Engine e non si applica a GDC (VMware).

È stato scoperto un problema di sicurezza in cui gli autori degli attacchi potrebbero essere in grado di aggirare le limitazioni dell'isolamento del workload sui cluster GKE.

Che cosa devo fare?

GKE su AWS

Non occorre alcun intervento. Questo problema è specifico del modo in cui i nodi GKE vengono sottoposti a provisioning e gestiti su Compute Engine e non si applica a GKE su AWS.

GKE su AWS (generazione precedente)

Non occorre alcun intervento. Questo problema è specifico del modo in cui i nodi GKE vengono sottoposti a provisioning e gestiti su Compute Engine e non si applica a GKE su AWS (generazione precedente).

È stato scoperto un problema di sicurezza in cui gli autori degli attacchi potrebbero essere in grado di aggirare le limitazioni dell'isolamento del workload sui cluster GKE.

Che cosa devo fare?

Non occorre alcun intervento. Questo problema è specifico del modo in cui i nodi GKE vengono sottoposti a provisioning e gestiti su Compute Engine e non si applica a GKE su Azure.

È stato scoperto un problema di sicurezza in cui gli autori degli attacchi potrebbero essere in grado di aggirare le limitazioni dell'isolamento del workload sui cluster GKE.

Che cosa devo fare?

Non occorre alcun intervento. Questo problema è specifico del modo in cui i nodi GKE vengono sottoposti a provisioning e gestiti su Compute Engine e non si applica a GDC (bare metal).

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37798

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.29.15-gke.1415000
• 1.30.12-gke.1168000
• 1.31.9-gke.1044000
• 1.27.16-gke.2771000
• 1.28.15-gke.2303000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37798

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37798

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37798

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37798

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37797

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.32.4-gke.1415000
• 1.28.15-gke.2303000
• 1.27.16-gke.2820000
• 1.33.1-gke.1107000
• 1.29.15-gke.1415000
• 1.31.9-gke.1044000
• 1.30.12-gke.1168000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37797

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37797

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37797

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-37797

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21702

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 22/05/2025: Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool GKE Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.29.15-gke.1193000
• 1.30.11-gke.1157000
• 1.31.7-gke.1265000
• 1.32.3-gke.1785000
• 1.28.15-gke.2072000
• 1.27.16-gke.2650000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21702

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21702

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21702

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21702

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21971

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 2025-06-02: Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool GKE Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.2820000
• 1.28.15-gke.2303000
• 1.29.15-gke.1415000
• 1.30.12-gke.1168000
• 1.31.9-gke.1044000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.28.15-gke.2142000
• 1.30.11-gke.1157000
• 1.31.7-gke.1265000
• 1.32.3-gke.1785000
• 1.29.15-gke.1193000
• 1.27.16-gke.2682000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21971

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21971

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21971

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21971

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-21701

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 22/05/2025: Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool GKE Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.2440000
• 1.28.15-gke.1844000
• 1.29.14-gke.1018000
• 1.30.10-gke.1042000
• 1.31.6-gke.1020000
• 1.32.1-gke.1729000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-21701

Che cosa devo fare?

Aggiornamento del 26/06/2025: Le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.32.0-gke.1087
• 1.31.300-gke.81
• 1.30.700-gke.56

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-21701

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-21701

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-21701

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-40364

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.2573000
• 1.28.15-gke.2003000
• 1.29.15-gke.1017000
• 1.30.10-gke.1227000
• 1.31.6-gke.1221000
• 1.32.2-gke.1652000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-40364

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-40364

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-40364

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2025-40364

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21756

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 22/05/2025: Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool GKE Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.31.6-gke.1221000
• 1.30.11-gke.1093000
• 1.29.15-gke.1134000
• 1.27.16-gke.2650000
• 1.32.3-gke.1170000
• 1.28.15-gke.2097000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21756

Che cosa devo fare?

Aggiornamento del 5 maggio 2025: Le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o successive:

• 1.31.400-gke.110
• 1.29.1300-gke.98

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21756

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21756

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21756

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2023-52927

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 22/05/2025: Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool GKE Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.31.6-gke.1064000
• 1.28.15-gke.2097000
• 1.32.2-gke.1652000
• 1.27.16-gke.2650000
• 1.29.15-gke.1134000
• 1.30.11-gke.1093000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2023-52927

Che cosa devo fare?

Aggiornamento del 29/04/2025: Le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o successive:

• 1.31.400-gke.110
• 1.30.800-gke.66

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2023-52927

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2023-52927

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2023-52927

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21700

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 22/05/2025: Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool GKE Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.32.2-gke.1652000
• 1.28.15-gke.1844000
• 1.30.10-gke.1070000
• 1.31.6-gke.1064000
• 1.27.16-gke.2451000
• 1.29.14-gke.1067000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21700

Che cosa devo fare?

Aggiornamento del 17/04/2025: Le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.30.600-gke.68
• 1.29.1100-gke.82
• 1.31.300-gke.81

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21700

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21700

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21700

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21703

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 22/05/2025: Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool GKE Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.32.3-gke.1170000
• 1.29.15-gke.1017000
• 1.27.16-gke.2573000
• 1.28.15-gke.2003000
• 1.30.10-gke.1227000
• 1.31.6-gke.1221000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21703

Che cosa devo fare?

Aggiornamento del 5 maggio 2025: Le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o successive:

• 1.29.1300-gke.98
• 1.31.300-gke.81
• 1.30.800-gke.66

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21703

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21703

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2025-21703

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Sono stati rilevati diversi problemi di sicurezza nel controller Ingress NGINX,ingress-nginx, un componente software open source che viene eseguito all'interno dei cluster Kubernetes per gestire il traffico di rete in entrata nel cluster. La più critica è CVE-2025-1974. Per tutti i dettagli e un elenco completo, consulta il feed CVE di Kubernetes.

Questi problemi interessano ingress-nginx. Se non hai installato ingress-nginx sul tuo cluster, non sei interessato.

I cluster GKE non utilizzano ingress-nginx e non sono interessati da questi problemi di sicurezza, a meno che tu non abbia installato ingress-nginx sul tuo cluster. Se hai installato ingress-nginx sul tuo cluster GKE, potresti essere vulnerabile a questi problemi di sicurezza.

Utilizzando CVE-2025-1974, un aggressore non autenticato con accesso alla rete Pod può ottenere l'esecuzione di codice arbitrario nel contesto del controller ingress-nginx. Ciò può comportare la divulgazione di secret accessibili al controller. Quando utilizzi la configurazione predefinita di ingress-nginx, il controller può accedere a tutti i secret nell'intero cluster.

Che cosa devo fare?

1. Verifica se i tuoi cluster GKE utilizzano ingress-nginx utilizzando uno dei seguenti comandi:

   • Controlla un singolo cluster:

     kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

   • Controlla più cluster contemporaneamente utilizzando una query di ricerca delle risorse di Cloud Asset Inventory:

     gcloud asset search-all-resources \
         --scope='organizations/ORGANIZATION_ID' \
         --asset-types='k8s.io/Pod' \
         --query='labels."app.kubernetes.io/name"="ingress-nginx"'

     Sostituisci ORGANIZATION_ID con l'ID risorsa della tua organizzazione. Per maggiori dettagli, vedi Ottenere l'ID risorsa dell'organizzazione.

2. Esegui l'upgrade di ingress-nginx a una versione patchata. Per maggiori dettagli, consulta il feed CVE ufficiale di Kubernetes.

3. Scopri di più sulla personalizzazione dell'isolamento di rete in GKE.

   Per ridurre i rischi derivanti da reti non attendibili, valuta la possibilità di utilizzare nodi privati e assicurati di aver configurato firewall restrittivi.

Sono stati rilevati diversi problemi di sicurezza in NGINX Ingress Controller, ingress-nginx, un componente software open source che viene eseguito all'interno dei cluster Kubernetes per gestire il traffico di rete in entrata nel cluster. La più critica è CVE-2025-1974. Per i dettagli completi e un elenco completo, consulta il feed CVE di Kubernetes.

Questi problemi interessano ingress-nginx. Se non hai installato ingress-nginx sul tuo cluster, non sei interessato.

Il software GDC per i cluster VMware non utilizza ingress-nginx e non è interessato da questi problemi di sicurezza, a meno che tu non abbia installato ingress-nginx sul tuo cluster. Se hai installato ingress-nginx nel software GDC per il cluster VMware, potresti essere vulnerabile a questi problemi di sicurezza.

Utilizzando CVE-2025-1974, un aggressore non autenticato con accesso alla rete Pod può ottenere l'esecuzione di codice arbitrario nel contesto del controller ingress-nginx. Ciò può comportare la divulgazione di secret accessibili al controller. Quando utilizzi la configurazione predefinita di ingress-nginx, il controller può accedere a tutti i secret dell'intero cluster.

Che cosa devo fare?

1. Controlla se il tuo software GDC per i cluster VMware utilizza ingress-nginx:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Esegui l'upgrade di ingress-nginx a una versione patchata. Per maggiori dettagli, consulta il feed CVE ufficiale di Kubernetes.

Sono stati rilevati diversi problemi di sicurezza nel controller Ingress NGINX,ingress-nginx, un componente software open source che viene eseguito all'interno dei cluster Kubernetes per gestire il traffico di rete in entrata nel cluster. La più critica è CVE-2025-1974. Per tutti i dettagli e un elenco completo, consulta il feed CVE di Kubernetes.

Questi problemi interessano ingress-nginx. Se non hai installato ingress-nginx sul tuo cluster, non sei interessato.

I cluster GKE su AWS non utilizzano ingress-nginx e non sono interessati da questi problemi di sicurezza, a meno che tu non abbia installato ingress-nginx sul tuo cluster. Se hai installato ingress-nginx sul tuo cluster GKE su AWS, potresti essere vulnerabile a questi problemi di sicurezza.

Utilizzando CVE-2025-1974, un aggressore non autenticato con accesso alla rete Pod può ottenere l'esecuzione di codice arbitrario nel contesto del controller ingress-nginx. Ciò può comportare la divulgazione di secret accessibili al controller. Quando utilizzi la configurazione predefinita di ingress-nginx, il controller può accedere a tutti i secret nell'intero cluster.

Che cosa devo fare?

1. Verifica se i tuoi cluster GKE su AWS utilizzano ingress-nginx:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Esegui l'upgrade di ingress-nginx a una versione patchata. Per maggiori dettagli, consulta il feed CVE ufficiale di Kubernetes.

Sono stati rilevati diversi problemi di sicurezza in NGINX Ingress Controller, ingress-nginx, un componente software open source che viene eseguito all'interno dei cluster Kubernetes per gestire il traffico di rete in entrata nel cluster. La più critica è CVE-2025-1974. Per i dettagli completi e un elenco completo, consulta il feed CVE di Kubernetes.

Questi problemi interessano ingress-nginx. Se non hai installato ingress-nginx sul tuo cluster, non sei interessato.

I cluster GKE su Azure non utilizzano ingress-nginx e non sono interessati da questi problemi di sicurezza, a meno che tu non abbia installato ingress-nginx sul tuo cluster. Se hai installato ingress-nginx sul tuo cluster GKE su Azure, potresti essere vulnerabile a questi problemi di sicurezza.

Utilizzando CVE-2025-1974, un aggressore non autenticato con accesso alla rete Pod può ottenere l'esecuzione di codice arbitrario nel contesto del controller ingress-nginx. Ciò può comportare la divulgazione di secret accessibili al controller. Quando utilizzi la configurazione predefinita di ingress-nginx, il controller può accedere a tutti i secret dell'intero cluster.

Che cosa devo fare?

1. Controlla se i tuoi cluster GKE su Azure utilizzano ingress-nginx:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Esegui l'upgrade di ingress-nginx a una versione patchata. Per maggiori dettagli, consulta il feed CVE ufficiale di Kubernetes.

Sono stati rilevati diversi problemi di sicurezza in NGINX Ingress Controller, ingress-nginx, un componente software open source che viene eseguito all'interno dei cluster Kubernetes per gestire il traffico di rete in entrata nel cluster. La più critica è CVE-2025-1974. Per i dettagli completi e un elenco completo, consulta il feed CVE di Kubernetes.

Questi problemi interessano ingress-nginx. Se non hai installato ingress-nginx sul tuo cluster, non sei interessato.

Il software GDC per i cluster bare metal non utilizza ingress-nginx e non è interessato da questi problemi di sicurezza, a meno che tu non abbia installato ingress-nginx sul tuo cluster. Se hai installato ingress-nginx nel software GDC per il cluster bare metal, potresti essere vulnerabile a questi problemi di sicurezza.

Utilizzando CVE-2025-1974, un aggressore non autenticato con accesso alla rete Pod può ottenere l'esecuzione di codice arbitrario nel contesto del controller ingress-nginx. Ciò può comportare la divulgazione di secret accessibili al controller. Quando utilizzi la configurazione predefinita di ingress-nginx, il controller può accedere a tutti i secret dell'intero cluster.

Che cosa devo fare?

1. Controlla se il software GDC per i cluster bare metal utilizza ingress-nginx:

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. Esegui l'upgrade di ingress-nginx a una versione patchata. Per maggiori dettagli, consulta il feed CVE ufficiale di Kubernetes.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53164

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 10/04/2025: Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.31.6-gke.1064000
• 1.27.16-gke.2451000
• 1.28.15-gke.1844000
• 1.29.14-gke.1067000
• 1.30.10-gke.1070000
• 1.32.2-gke.1652000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.2451000
• 1.32.2-gke.1182000
• 1.29.14-gke.1067000
• 1.30.10-gke.1070000
• 1.31.6-gke.1064000
• 1.28.15-gke.1844000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53164

Che cosa devo fare?

Aggiornamento del 10/04/2025: Le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o successive:

• 1.29.1100-gke.82
• 1.31.200-gke.58
• 1.30.500-gke.126

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53164

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53164

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53164

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-56770

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 2025-06-02: Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool GKE Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.2732000
• 1.28.15-gke.2192000
• 1.29.15-gke.1274000
• 1.30.12-gke.1151000
• 1.31.8-gke.1113000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.2387000
• 1.28.15-gke.1612000
• 1.29.13-gke.1006000
• 1.30.8-gke.1261000
• 1.31.5-gke.1023000
• 1.32.1-gke.1729000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-56770

Che cosa devo fare?

Aggiornamento del 10/04/2025: Le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o successive:

• 1.31.200-gke.58
• 1.30.500-gke.126
• 1.29.1100-gke.82

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-56770

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-56770

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-56770

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Il progetto Envoy ha recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2024-53269, CVE-2024-53270 e CVE-2024-53271) che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy.

Sono interessate le versioni secondarie 1.31 e 1.32 di GKE che utilizzano Identity Service for GKE. Sono interessati anche i cluster GKE Autopilot e i cluster che utilizzano GKE Sandbox.

Che cosa devo fare?

Esegui l'upgrade dei cluster GKE e dei node pool a una delle seguenti versioni o versioni successive:

• 1.31.3-gke.1162000
• 1.32.0-gke.1448000

Ti consigliamo di eseguire manualmente l'upgrade del cluster anche se hai attivato l'upgrade automatico dei nodi.

Una funzionalità recente dei canali di rilascio ti consente di applicare una patch senza dover annullare l'iscrizione a un canale. In questo modo puoi proteggere i tuoi nodi finché la nuova versione non diventa l'impostazione predefinita per il tuo canale di rilascio specifico.

Il progetto Envoy ha recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2024-53269, CVE-2024-53270, e CVE-2024-53271) che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy.

Il software GDC per VMware versioni 1.31, 1.30 e 1.29 che utilizzano Cloud Service Mesh versione 1.23.3-asm.3 sono interessati.

Che cosa devo fare?

Le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster di amministrazione e utente a una delle seguenti versioni del software GDC for VMware:

• 1.31.200
• 1.30.600
• 1.29.1000

Il progetto Envoy ha recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2024-53269, CVE-2024-53270, e CVE-2024-53271) che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy.

GKE su AWS non viene fornito con Envoy e non è interessato.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua.

Il progetto Envoy ha recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2024-53269, CVE-2024-53270, e CVE-2024-53271) che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy.

GKE su Azure non viene fornito con Envoy e non è interessato.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua.

Il progetto Envoy ha recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2024-53269, CVE-2024-53270, e CVE-2024-53271) che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy.

Che cosa devo fare?

Le seguenti versioni del software GDC per bare metal sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire l'upgrade dei cluster a una delle seguenti versioni del software GDC per bare metal:

• 1.31.200-gke.59
• 1.30.600-gke.69
• 1.29.1100-gke.84

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-53141

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.2296000
• 1.28.15-gke.1673000
• 1.29.13-gke.1038000
• 1.30.9-gke.1009000
• 1.31.5-gke.1023000
• 1.32.1-gke.1729000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.27.16-gke.2342000
• 1.28.15-gke.1720000
• 1.29.13-gke.1109000
• 1.30.9-gke.1127000
• 1.31.5-gke.1169000
• 1.32.1-gke.1729000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-53141

Che cosa devo fare?

Aggiornamento del 10/04/2025: Le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o successive:

• 1.31.200-gke.58
• 1.30.600-gke.68
• 1.29.1100-gke.82

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-53141

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-53141

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-53141

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

È stato scoperto un problema di sicurezza nel provider Google Secret Manager per il driver CSI Secret Store. Per sfruttare questa vulnerabilità, un malintenzionato deve essere in grado di:

1. Crea pod sui nodi in cui è in esecuzione il driver CSI.
2. Crea i secret negli stessi spazi dei nomi dei pod.
3. Monta i volumi CSI di Secrets Store sul pod con l'opzione nodePublishSecretRef impostata.
4. Fornisci una configurazione delle credenziali predefinite dell'applicazione dannosa nel secret.
5. Fai riferimento al secret nell'opzione nodePublishSecretRef sul montaggio del volume.

Seguendo questi passaggi, un malintenzionato potrebbe indurre il driver CSI a divulgare il token del account di servizio Kubernetes del driver CSI a un URL controllato dall'attaccante.

Il provider Secret Manager può essere utilizzato in due modi con un cluster GKE. L'add-on Secret Manager per GKE è una funzionalità gestita disponibile sui cluster GKE. In alternativa, in qualità di utente GKE puoi installare il provider Google Secret Manager per il driver CSI Secret Store open source sul tuo cluster GKE. In entrambi i casi, il provider consente a un pod Kubernetes di accedere ai secret archiviati in Google Cloud Secret Manager come file montati nel pod come volume.

Le correzioni per il componente aggiuntivo Secret Manager di GKE gestito e per il provider Secret Manager open source disabilitano l'utilizzo di nodePublishSecretRef per evitare questo problema. È stato stabilito che questa modifica non influisce sull'utilizzo esistente del componente aggiuntivo GKE Secret Manager. Un numero molto ridotto di cluster GKE che utilizzano il provider Secret Manager open source con nodePublishSecretRef potrebbe subire un impatto. La patch open source consente di riattivare la funzionalità nodePublishSecretRef tramite la variabile di ambiente ALLOW_NODE_PUBLISH_SECRET, se necessario.

Che cosa devo fare?

A seconda di come il cluster GKE utilizza il provider Secret Manager, esegui una delle seguenti operazioni:

Componente aggiuntivo Secret Manager di GKE gestito

Se utilizzi il componente aggiuntivo GKE gestito, esegui l'upgrade del cluster GKE a una versione patchata. Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei node pool alle seguenti versioni o successive:

• 1.27.16-gke.2051000
• 1.28.15-gke.1362000
• 1.29.11-gke.1012000
• 1.30.6-gke.1596000
• 1.31.1-gke.1846000

Per ricevere la correzione il più rapidamente possibile, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi Standard a una versione patch di GKE. I canali di rilascio di GKE ti consentono di applicare patch prima che la nuova versione diventi un target di upgrade automatico nel canale di rilascio selezionato.

Provider Secret Manager open source

Se utilizzi il provider Secret Manager open source, esegui l'upgrade alla versione 1.7.0.. Se utilizzi il grafico Helm, l'ultima versione fa già riferimento a 1.7.0. Se basi l'installazione direttamente sul file deploy/provider-gcp-plugin.yaml, tieni presente che anche l'immagine è stata aggiornata in questo file.

Una vulnerabilità nel provider Google Secret Manager per il driver CSI Secret Store consente a un malintenzionato con autorizzazioni di creazione di pod e secret in uno spazio dei nomi di estrarre il token del account di servizio Kubernetes del driver CSI montando un volume dannoso su un pod.

Che cosa devo fare?

Se hai installato manualmente il provider Secret Manager open source, potresti essere interessato. Consulta le istruzioni relative al provider Secret Manager open source nella scheda GKE.

I cluster GDC (VMware) non sono interessati in quanto non offrono un componente aggiuntivo gestito, pertanto non è richiesta alcuna azione aggiuntiva.

Una vulnerabilità nel provider Google Secret Manager per il driver CSI Secret Store consente a un malintenzionato con autorizzazioni di creazione di pod e secret in uno spazio dei nomi di estrarre il token del account di servizio Kubernetes del driver CSI montando un volume dannoso su un pod.

Che cosa devo fare?

Se hai installato manualmente il provider Secret Manager open source, potresti essere interessato. Consulta le istruzioni relative al provider Secret Manager open source nella scheda GKE.

I cluster GKE su AWS non sono interessati in quanto non offrono un componente aggiuntivo gestito, quindi non è richiesta alcuna azione aggiuntiva.

Una vulnerabilità nel provider Google Secret Manager per il driver CSI Secret Store consente a un malintenzionato con autorizzazioni di creazione di pod e secret in uno spazio dei nomi di estrarre il token del account di servizio Kubernetes del driver CSI montando un volume dannoso su un pod.

Che cosa devo fare?

Se hai installato manualmente il provider Secret Manager open source, potresti essere interessato. Consulta le istruzioni relative al provider Secret Manager open source nella scheda GKE.

I cluster GKE su Azure non sono interessati in quanto non offrono un componente aggiuntivo gestito, quindi non è necessaria alcuna azione aggiuntiva.

Una vulnerabilità nel provider Google Secret Manager per il driver CSI Secret Store consente a un malintenzionato con autorizzazioni di creazione di pod e secret in uno spazio dei nomi di estrarre il token del account di servizio Kubernetes del driver CSI montando un volume dannoso su un pod.

Che cosa devo fare?

Se hai installato manualmente il provider Secret Manager open source, potresti essere interessato. Consulta le istruzioni relative al provider Secret Manager open source nella scheda GKE.

I cluster GDC (bare metal) non sono interessati perché non offrono un componente aggiuntivo gestito, quindi non è richiesta alcuna azione aggiuntiva.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-50264

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 23/01/2025: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu a una delle seguenti versioni o successive:

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.2081000
• 1.28.15-gke.1480000
• 1.29.12-gke.1055000
• 1.30.8-gke.1051000
• 1.31.4-gke.1072000
• 1.32.0-gke.1448000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-50264

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-50264

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-50264

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-50264

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53057

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 23/01/2025: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu a una delle seguenti versioni o successive:

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.1836000
• 1.28.15-gke.1342000
• 1.29.11-gke.1012000
• 1.30.7-gke.1077000
• 1.31.3-gke.1056000
• 1.32.0-gke.1448000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53057

Che cosa devo fare?

Aggiornamento del 22/01/2025:le seguenti versioni di GDC (VMware) sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GDC (VMware) alle seguenti versioni o successive:

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53057

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53057

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-53057

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Aggiornamento del 23/01/2025: è stata aggiornata la sezione Risorse interessate.

Aggiornamento del 08/01/2025: la data e l'ora di inizio effettive del problema sono state il 04/12/2024 alle 22:47 UTC.

Un problema di sicurezza è stato introdotto l'8 dicembre 2024 alle 13:44 UTC e risolto il 4 gennaio 2025 alle 04:00 UTC. Questo problema di sicurezza ha interessato le risorse nei VPC con GKE Multi-Cluster Gateway (MCG) configurato. MCG è una funzionalità facoltativa utilizzata da un piccolo sottoinsieme di clienti GKE. Stiamo inviando una notifica individuale ai clienti che avevano attivato la funzionalità durante quel periodo di tempo.

Multi-Cluster Gateway (MCG) è una funzionalità di GKE che consente ai clienti di bilanciare il carico del traffico su più cluster. Per eseguire questa funzione, MCG deve apportare modifiche al firewall Google Cloud a livello di progetto. Un errore all'interno di MCG ha comportato la creazione di una regola firewall in entrata che consentiva il traffico TCP a tutti gli IP (0.0.0.0/0) e a tutte le porte all'interno del VPC. Sono state adottate misure per evitare errori di questo tipo in futuro.

Poiché il firewall è un elenco consentiti a livello di VPC, i seguenti tipi di risorse potrebbero essere raggiungibili dalla rete durante il periodo di tempo:

• Applicazioni dei clienti in esecuzione sui nodi di lavoro GKE accessibili tramite IP pubblici.
• Applicazioni dei clienti in esecuzione su macchine virtuali (VM) Compute Engine con indirizzi IP pubblici.
• Qualsiasi altra risorsa Google Cloud nello stesso VPC del cluster con IP pubblici e porte di ascolto.

I nodi worker GKE, le VM Compute Engine e altre risorse che utilizzavano solo IP privati potrebbero essere stati più ampiamente accessibili all'interno del VPC, ma non sarebbero stati accessibili a internet. Le applicazioni protette dai seguenti meccanismi avrebbero ridotto o eliminato la loro esposizione:

• Regole firewall con priorità uguale o superiore a DENY (MCG imposta la priorità delle regole firewall su 1000 per impostazione predefinita)
• Service mesh che utilizza l'autorizzazione basata sull'identità
• Autorizzazione a livello di applicazione

Risorse interessate

Aggiornamento del 23/01/2025: i fleet (o hub) GKE che utilizzano MCG nei progetti di servizio VPC condiviso non sono interessati dal problema, in quanto le regole firewall non vengono gestite dai progetti di servizio VPC condiviso.

Sono state interessate le risorse che si trovano nei VPC con GKE MCG configurato e in ascolto su IP pubblici. Le risorse interessate includono, a titolo esemplificativo, le applicazioni in esecuzione sui nodi di lavoro GKE.

Che cosa devo fare?

Il problema è stato risolto in tutti i VPC interessati correggendo la configurazione errata del firewall. Le regole create per errore sono state modificate automaticamente con gli intervalli di origine appropriati (130.211.0.0/22, 35.191.0.0/16) per consentire il traffico in entrata proveniente dall'infrastruttura di controllo di integrità e, facoltativamente, dagli intervalli di subnet solo proxy per i gateway interni. Google Cloud Per saperne di più sulle regole firewall create automaticamente da MCG nei tuoi progetti, consulta Regole firewall del gateway GKE.

Se vuoi, puoi confermare la risoluzione controllando le regole firewall gestite sui VPC utilizzando GKE MCG. Verifica che un intervallo di origine sia impostato nelle regole firewall gestite che utilizzano il prefisso gkemcg1-l7-. Esamina queste regole e verifica che sia impostato un intervallo di origine.

Per elencare le regole firewall gestite da MCG nell'ambiente attuale, esegui il seguente comando:

gcloud compute firewall-rules list --format="json" --filter="name:gkemcg1-l7-*" | jq -r '.[] | "\(.name): \(.sourceRanges // "No source range")"' | awk -F: '{if ($2 ~ /No source range|^\s*$/) print "Rule "$1" has an EMPTY or MISSING source range."; else print "Rule "$1" has source range(s): "$2;}'

Per cercare nei log gli aggiornamenti alle configurazioni firewall gestite da MCG, utilizza Esplora log con la seguente query:

protoPayload.serviceName="compute.googleapis.com"
          resource.type="gce_firewall_rule"
          protoPayload.resourceName=~"projects/[^/]+/global/firewalls/gkemcg1-"
          -operation.last="true"

Per elencare le regole firewall gestite da MCG nella tua organizzazione, esegui il seguente comando per eseguire query su Cloud Asset Inventory:

gcloud asset search-all-resources
          --scope='organizations/'
          --asset-types='compute.googleapis.com/Firewall'
          --query 'name: //compute.googleapis.com/projects/*/*/firewalls/gkemcg*'

I seguenti controlli aggiuntivi forniscono una difesa approfondita contro le reti non attendibili e possono essere presi in considerazione per rafforzare il livello di sicurezza:

• Utilizza nodi GKE privati per assicurarti che i nodi ricevano solo IP privati.
• Se possibile, utilizza criteri firewall DENYespliciti.
• Utilizza i criteri firewall gerarchici per ignorare le configurazioni firewall a livello di VPC.
• Utilizza Cloud Service Mesh per fornire autenticazione e autorizzazione.
• Utilizza l'autenticazione e l'autorizzazione in-app.
• Utilizza il servizio Criteri dell'organizzazione per bloccare le regole firewall che consentono tutto il traffico. A questo scopo, crea un vincolo per negare tutte le regole firewall del traffico e applicalo con un criterio.

Ti consigliamo di esaminare le configurazioni e i log per identificare eventuali applicazioni o servizi che potrebbero essere stati esposti durante il periodo di tempo menzionato in precedenza e che non avrebbero dovuto essere esposti. Puoi utilizzare i seguenti strumenti per controllare il traffico in entrata verso le risorse in esecuzione in Google Cloud:

• Log di flusso VPC per la visibilità del throughput e delle prestazioni della rete
• Cloud Logging per cercare e analizzare dati di logging ed eventi di servizi e applicazioni Google Cloud configurati per inviare log
• Logging delle regole firewall per controllare, verificare e analizzare gli effetti delle regole firewall
• Security Command Center per la visibilità dei risultati di sicurezza che indicano attività di rete sospette
• I log delle applicazioni

È stato rilevato un problema di sicurezza che interessa Multi-Cluster Gateway (MCG), una funzionalità di GKE che consente ai clienti di bilanciare il carico del traffico su più cluster.

I cluster GDC (VMware) non supportano MCG e non sono interessati.

Che cosa devo fare?

Non occorre alcun intervento.

È stato rilevato un problema di sicurezza che interessa Multi-Cluster Gateway (MCG), una funzionalità di GKE che consente ai clienti di bilanciare il carico del traffico su più cluster.

I cluster GKE su AWS non supportano MCG e non sono interessati.

Che cosa devo fare?

Non occorre alcun intervento.

È stato rilevato un problema di sicurezza che interessa Multi-Cluster Gateway (MCG), una funzionalità di GKE che consente ai clienti di bilanciare il carico del traffico su più cluster.

I cluster GKE su Azure non supportano MCG e non sono interessati.

Che cosa devo fare?

Non occorre alcun intervento.

È stato rilevato un problema di sicurezza che interessa Multi-Cluster Gateway (MCG), una funzionalità di GKE che consente ai clienti di bilanciare il carico del traffico su più cluster.

I cluster GDC (bare metal) non supportano MCG e non sono interessati.

Che cosa devo fare?

Non occorre alcun intervento.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-46800

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 12/12/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.28.15-gke.1342000
• 1.29.10-gke.1280000
• 1.30.6-gke.1596000
• 1.31.3-gke.1023000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.1576000
• 1.28.14-gke.1217000
• 1.29.9-gke.1496000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-46800

Che cosa devo fare?

Aggiornamento del 22/01/2025:le seguenti versioni di GDC (VMware) sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GDC (VMware) alle seguenti versioni o successive:

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-46800

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-46800

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-46800

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Un problema di sicurezza scoperto nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è costruito in modo dannoso, un utente con la possibilità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il limite del container.

Che cosa devo fare?

Esegui l'upgrade del cluster GKE e dei node pool a una versione patchata. Le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Per motivi di sicurezza, anche con l'upgrade automatico dei nodi abilitato, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi a una versione di GKE con patch. I canali di rilascio di GKE consentono di applicare patch senza dover annullare l'iscrizione o modificare i canali di rilascio. In questo modo puoi proteggere il cluster e i nodi prima che la nuova versione diventi quella predefinita sul canale di rilascio selezionato.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2024-10220 consente a un utente malintenzionato di creare un pod e associare un volume gitRepo per eseguire comandi arbitrari oltre il limite del container.

Un problema di sicurezza scoperto nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è costruito in modo dannoso, un utente con la possibilità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il limite del container.

Che cosa devo fare?

Un problema di sicurezza scoperto nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è costruito in modo dannoso, un utente con la possibilità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il limite del container.

Che cosa devo fare?

Un problema di sicurezza scoperto nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è costruito in modo dannoso, un utente con la possibilità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il limite del container.

Che cosa devo fare?

Un problema di sicurezza scoperto nei cluster Kubernetes potrebbe comportare l'esecuzione di codice remoto utilizzando un volume gitRepo. Se il repository Git è costruito in modo dannoso, un utente con la possibilità di creare un pod e associare un volume gitRepo potrebbe eseguire comandi arbitrari oltre il limite del container.

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-45016

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 19/11/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.1784000
• 1.28.15-gke.1080000
• 1.29.10-gke.1155000
• 1.30.6-gke.1059000
• 1.31.2-gke.1354000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.1478000
• 1.28.14-gke.1099000
• 1.29.9-gke.1177000
• 1.30.5-gke.1145000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-45016

Che cosa devo fare?

Aggiornamento del 15/10/2024: le seguenti versioni di GDC (VMware) sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GDC (VMware) alle seguenti versioni o successive:

• 1.30.100-gke.96
• 1.29.600-gke.109
• 1.28.1000-gke.59

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-45016

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-45016

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-45016

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

GKE non utilizza il sistema di stampa CUPS e non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

Il software GDC per VMware non utilizza il sistema di stampa CUPS e non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

GKE su AWS non utilizza il sistema di stampa CUPS e non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

GKE su Azure non utilizza il sistema di stampa CUPS e non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Che cosa devo fare?

Nessuna azione richiesta

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei container e AUTHORITY\Authenticated gli utenti potrebbero essere in grado di modificare i log dei container.

È interessato qualsiasi ambiente Kubernetes con nodi Windows. Esegui kubectl get nodes -l kubernetes.io/os=windows per verificare se sono in uso nodi Windows.

Versioni di GKE interessate

• 1.27.15 e precedenti
• 1.28.11 e versioni precedenti
• 1.29.6 e precedenti
• 1.30.2 e versioni precedenti

Che cosa devo fare?

Le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità. Per motivi di sicurezza, anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire manualmente l'upgrade del cluster e dei pool di nodi a una delle seguenti versioni di GKE o successive:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i tuoi nodi finché la versione della patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Quali vulnerabilità vengono affrontate?

CVE-2024-5321

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei container e AUTHORITY\Authenticated gli utenti potrebbero essere in grado di modificare i log dei container.

È interessato qualsiasi ambiente Kubernetes con nodi Windows. Esegui kubectl get nodes -l kubernetes.io/os=windows per verificare se sono in uso nodi Windows.

Che cosa devo fare?

Sono in corso le versioni patch del software GDC per VMware. Aggiorneremo questo bollettino con queste informazioni non appena saranno disponibili.

Quali vulnerabilità vengono affrontate?

CVE-2024-5321

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei container e gli utenti AUTHORITY\Authenticated potrebbero essere in grado di modificare i log dei container.

I cluster GKE su AWS non supportano i nodi Windows e non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei container e gli utenti AUTHORITY\Authenticated potrebbero essere in grado di modificare i log dei container.

I cluster GKE su Azure non supportano i nodi Windows e non sono interessati.

Che cosa devo fare?

Nessuna azione richiesta

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei container e gli utenti AUTHORITY\Authenticated potrebbero essere in grado di modificare i log dei container.

Il software GDC per i cluster bare metal non supporta i nodi Windows e non è interessato.

Che cosa devo fare?

Nessuna azione richiesta

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Che cosa devo fare?

GKE non supporta IPv6 su Windows e non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua.

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Che cosa devo fare?

Il software GDC per VMware non supporta IPv6 su Windows e non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua.

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Che cosa devo fare?

GKE su AWS non è interessato da questa vulnerabilità CVE. Non è richiesta alcuna azione da parte tua.

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Che cosa devo fare?

GKE su Azure non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua.

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Che cosa devo fare?

GDC (bare metal) non è interessato da questa CVE. Non è richiesta alcuna azione da parte tua.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36978

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 1° novembre 2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36978

Che cosa devo fare?

Aggiornamento del 21/10/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.28.1100-gke.91
• 1.30.200-gke.101
• 1.29.600-gke.109

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36978

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36978

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36978

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-41009

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 30/10/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-41009

Che cosa devo fare?

Aggiornamento del 25/10/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.29.700-gke.110
• 1.28.1100-gke.91
• 1.30.200-gke.101

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-41009

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-41009

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-41009

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-39503

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 30/10/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-39503

Che cosa devo fare?

Aggiornamento del 21/10/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-39503

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-39503

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-39503

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26925

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 21/08/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26925

Che cosa devo fare?

Aggiornamento del 19/09/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.29.400
• 1.28.900

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26925

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26925

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26925

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36972

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 30/10/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36972

Che cosa devo fare?

Aggiornamento del 21/10/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36972

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36972

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-36972

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26921

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 2/10/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei node pool Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.1287000
• 1.28.13-gke.1042000
• 1.29.8-gke.1096000
• 1.30.4-gke.1476000
• 1.30.4-gke.1476000
• 1.31.0-gke.1577000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26921

Che cosa devo fare?

Aggiornamento del 20/09/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.30.200
• 1.29.500
• 1.28.1000

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26921

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26921

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26921

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Aggiornamento del 18/07/2024: la versione originale di questo bollettino indicava erroneamente che i cluster Autopilot erano interessati. I cluster Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti la funzionalità CAP_NET_ADMIN.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26809

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26809

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26809

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26809

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26809

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 19/07/2024: le seguenti versioni di GKE contengono codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Che cosa devo fare?

Aggiornamento del 16/09/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.29.200
• 1.28.700
• 1.16.11

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Aggiornamento 03/07/2024: è in corso un'implementazione rapida e si prevede che le nuove versioni delle patch saranno disponibili in tutte le zone entro il 3 luglio 2024 alle ore 17:00 (ora legale del Pacifico di Stati Uniti e Canada, UTC-7). Per ricevere una notifica non appena una patch è disponibile per il tuo cluster specifico, utilizza le notifiche del cluster.

Aggiornamento del 02/07/2024: questa vulnerabilità interessa sia i cluster in modalità Autopilot sia quelli in modalità Standard. Ogni sezione che segue indica le modalità a cui si applica.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387, in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli autori di attacchi di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Tutte le versioni supportate di Container Optimized OS e delle immagini Ubuntu su GKE eseguono versioni di OpenSSH vulnerabili a questo problema.

I cluster GKE con indirizzi IP nodo pubblici e SSH esposto a internet devono essere trattati con la massima priorità per la mitigazione.

Il control plane GKE non è vulnerabile a questo problema.

Che cosa devo fare?

Aggiornamento del 3 luglio 2024: versioni patch per GKE

È in corso un'implementazione rapida che dovrebbe rendere disponibili le nuove versioni delle patch in tutte le zone entro il 3 luglio 2024 alle ore 17:00 (ora legale del Pacifico).

I cluster e i nodi con l'upgrade automatico abilitato inizieranno l'upgrade nel corso della settimana, ma a causa della gravità della vulnerabilità ti consigliamo di eseguire l'upgrade manualmente nel seguente modo per ottenere le patch il più rapidamente possibile.

Per i cluster Autopilot e Standard, esegui l'upgrade del control plane a una versione con patch. Inoltre, per i cluster in modalità Standard, esegui l'upgrade dei node pool a una versione con patch. I cluster Autopilot inizieranno l'upgrade dei nodi in modo che corrispondano alla versione del control plane il prima possibile.

Le versioni di GKE corrette sono disponibili per ogni versione supportata per ridurre al minimo le modifiche necessarie per applicare la patch. Il numero di versione di ogni nuova versione è un incremento dell'ultima cifra del numero di versione di una versione esistente corrispondente. Ad esempio, se utilizzi la versione 1.27.14-gke.1100000, l'upgrade verrà eseguito alla versione 1.27.14-gke.1100002 per ottenere la correzione con la più piccola modifica possibile. Sono disponibili le seguenti versioni di GKE corrette:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Per verificare se una patch è disponibile nella zona o nella regione del cluster, esegui questo comando:

gcloud container get-server-config --location=LOCATION

Sostituisci LOCATION con la tua zona o regione.

Aggiornamento del 02/07/2024: i cluster in modalità Autopilot e Standard devono essere aggiornati il prima possibile dopo la disponibilità delle versioni patch.

Una versione di GKE con patch che include una versione aggiornata di OpenSSH sarà resa disponibile il prima possibile. Questo bollettino verrà aggiornato quando le patch saranno disponibili. Per ricevere una notifica Pub/Sub quando è disponibile una patch per il tuo canale, attiva le notifiche del cluster. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione del cluster e applicare le mitigazioni descritte, se necessario.

Determinare se i nodi hanno indirizzi IP pubblici

Aggiornamento del 02/07/2024: questa sezione si applica sia ai cluster Autopilot che Standard.

Se un cluster viene creato con enable-private-nodes, i nodi saranno privati, il che mitiga la vulnerabilità rimuovendo l'esposizione a internet. Esegui questo comando per determinare se i nodi privati sono abilitati nel cluster:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Se il valore restituito è True, tutti i nodi sono privati per questo cluster e la vulnerabilità è mitigata. Se il valore è vuoto o falso, continua ad applicare una delle mitigazioni nelle sezioni seguenti.

Per trovare tutti i cluster creati originariamente con nodi pubblici, utilizza questa query Cloud Asset Inventory nel progetto o nell'organizzazione:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Non consentire SSH ai nodi del cluster

Aggiornamento del 02/07/2024: questa sezione si applica sia ai cluster Autopilot che Standard.

La rete predefinita è precompilata con una regola firewall default-allow-ssh per consentire l'accesso SSH da internet pubblico. Per rimuovere questo accesso, puoi:

• Se vuoi, crea regole per consentire l'accesso SSH necessario dalle reti attendibili ai nodi GKE o ad altre VM di Compute Engine nel progetto.
• Disattiva la regola firewall predefinita con il seguente comando:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Se hai creato altre regole firewall che potrebbero consentire SSH tramite TCP sulla porta 22, disattiva queste regole o limita gli IP di origine alle reti attendibili.

Verifica di non poter più connetterti ai nodi del cluster tramite SSH da internet. Questa configurazione del firewall mitiga la vulnerabilità.

Converti i pool di nodi pubblici in privati

Aggiornamento del 02/07/2024: per i cluster Autopilot creati originariamente come cluster pubblici, puoi posizionare i tuoi workload su nodi privati utilizzando nodeSelector. Tuttavia, i nodi Autopilot che eseguono carichi di lavoro di sistema su cluster originariamente creati come cluster pubblici rimarranno nodi pubblici e devono essere protetti utilizzando le modifiche al firewall descritte nella sezione precedente.

Per proteggere al meglio i cluster creati originariamente con nodi pubblici, ti consigliamo di disattivare prima SSH tramite il firewall, come già descritto. Se non riesci a disabilitare SSH tramite le regole firewall, puoi convertire i node pool pubblici nei cluster GKE Standard in privati seguendo queste indicazioni per isolare i node pool.

Modificare la configurazione di SSHD

Aggiornamento del 02/07/2024: questa sezione si applica solo ai cluster Standard. I carichi di lavoro Autopilot non possono modificare la configurazione dei nodi.

Se non è possibile applicare nessuna di queste mitigazioni, abbiamo anche pubblicato un daemonset che imposta SSHD LoginGraceTime su zero e riavvia il daemon SSH. Questo daemonset può essere applicato al cluster per mitigare l'attacco. Tieni presente che questa configurazione potrebbe aumentare il rischio di attacchi Denial of Service e causare problemi con l'accesso SSH legittimo. Questo daemonset deve essere rimosso dopo l'applicazione di una patch.

Aggiornamento dell'11 luglio 2024: le seguenti versioni del software GDC per VMware sono state aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade della workstation di amministrazione, dei cluster di amministrazione e dei cluster utente (inclusi i pool di nodi) a una delle seguenti versioni o successive. Per le istruzioni, vedi Upgrade di un cluster o di un node pool.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

L'aggiornamento del 2 luglio 2024 di questo bollettino indicava erroneamente che tutte le versioni supportate delle immagini Ubuntu sul software GDC per VMware eseguono versioni di OpenSSH vulnerabili a questo problema. Le immagini Ubuntu sul software GDC per i cluster VMware versione 1.16 eseguono versioni di OpenSSH che non sono vulnerabili a questo problema. Le immagini Ubuntu nel software GDC per VMware 1.28 e 1.29 sono vulnerabili. Le immagini Container-Optimized OS su tutte le versioni supportate del software GDC per VMware sono vulnerabili a questo problema.

Aggiornamento del 02/07/2024: tutte le versioni supportate di Container-Optimized OS e le immagini Ubuntu sul software GDC per VMware eseguono versioni di OpenSSH vulnerabili a questo problema.

Il software GDC per i cluster VMware con indirizzi IP nodo pubblici e SSH esposto a internet deve essere trattato con la massima priorità per la mitigazione.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387, in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli autori di attacchi di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento del 02/07/2024: un software GDC con patch per la versione VMware che include una versione aggiornata di OpenSSH sarà disponibile il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di applicare le seguenti mitigazioni, se necessario.

Non consentire SSH ai nodi del cluster

Puoi modificare la configurazione della rete dell'infrastruttura per impedire la connettività SSH da origini non attendibili, come internet pubblico.

Modificare la configurazione di sshd

Se non riesci ad applicare la mitigazione precedente, abbiamo pubblicato un DaemonSet che imposta sshd LoginGraceTime su zero e riavvia il daemon SSH. Questo DaemonSet può essere applicato al cluster per mitigare l'attacco. Tieni presente che questa configurazione potrebbe aumentare il rischio di attacchi Denial of Service e causare problemi con l'accesso SSH legittimo. Rimuovi questo DaemonSet dopo l'applicazione di una patch.

Aggiornamento del 11/07/2024: le seguenti versioni di GKE su AWS sono state aggiornate con codice per correggere questa vulnerabilità:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Esegui l'upgrade del control plane e dei node pool di GKE su AWS a una di queste versioni con patch o successive. Per istruzioni, vedi Aggiornare la versione del cluster AWS e Aggiornare un node pool.

Aggiornamento del 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su AWS eseguono versioni di OpenSSH vulnerabili a questo problema.

I cluster GKE su AWS con indirizzi IP nodo pubblici e SSH esposto a internet devono essere trattati con la massima priorità per la mitigazione.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387, in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli autori di attacchi di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento 02/07/2024: una versione di GKE su AWS con patch applicata che include una versione aggiornata di OpenSSH sarà disponibile il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione del cluster e applicare le mitigazioni descritte in base alle necessità.

Determinare se i nodi hanno indirizzi IP pubblici

GKE su AWS non esegue il provisioning di alcuna macchina con indirizzi IP pubblici o con regole firewall che consentono il traffico alla porta 22 per impostazione predefinita. Tuttavia, a seconda della configurazione della subnet, le macchine possono ottenere automaticamente un indirizzo IP pubblico durante il provisioning.

Per verificare se i nodi vengono sottoposti al provisioning con indirizzi IP pubblici, esamina la configurazione della subnet associata alla risorsa del pool di nodi AWS.

Non consentire SSH ai nodi del cluster

Anche se GKE su AWS non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono collegare gruppi di sicurezza aggiuntivi ai node pool, consentendo il traffico SSH in entrata.

Ti consigliamo di rimuovere o ridurre l'ambito delle regole corrispondenti dai gruppi di sicurezza forniti.

Converti i pool di nodi pubblici in privati

Per proteggere al meglio i cluster con nodi pubblici, ti consigliamo di disattivare prima SSH tramite il gruppo di sicurezza, come descritto nella sezione precedente. Se non riesci a disabilitare SSH tramite le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati disattivando l'opzione per assegnare automaticamente IP pubblici alle macchine all'interno di una subnet e riprovisionando il pool di nodi.

Aggiornamento del 11/07/2024: le seguenti versioni di GKE su Azure sono state aggiornate con codice per correggere questa vulnerabilità:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Esegui l'upgrade del control plane e dei node pool di GKE su Azure a una di queste versioni con patch o successive. Per istruzioni, vedi Eseguire l'upgrade della versione del cluster Azure e Aggiornare un node pool.

Aggiornamento del 02/07/2024: tutte le versioni supportate delle immagini Ubuntu su GKE su Azure eseguono versioni di OpenSSH vulnerabili a questo problema.

I cluster GKE su Azure con indirizzi IP nodo pubblici e SSH esposto a internet devono essere trattati con la massima priorità per la mitigazione.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387, in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli autori di attacchi di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento 02/07/2024: una versione di GKE su Azure con patch che include una versione aggiornata di OpenSSH sarà resa disponibile il prima possibile. Questo bollettino verrà aggiornato quando saranno disponibili le patch. Ti consigliamo di seguire i passaggi riportati di seguito per verificare l'esposizione del cluster e applicare le mitigazioni descritte in base alle necessità.

Determinare se i nodi hanno indirizzi IP pubblici

GKE su Azure non esegue il provisioning di alcuna macchina con indirizzi IP pubblici o con regole firewall che consentono il traffico alla porta 22 per impostazione predefinita. Per esaminare la configurazione di Azure e verificare se sono configurati indirizzi IP pubblici nel cluster GKE su Azure, esegui questo comando:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

Non consentire SSH ai nodi del cluster

Anche se GKE su Azure non consente il traffico sulla porta 22 su nessun nodo per impostazione predefinita, i clienti possono aggiornare le regole NetworkSecurityGroup ai node pool, consentendo il traffico SSH in entrata da internet pubblico.

Ti consigliamo vivamente di esaminare i gruppi di sicurezza di rete (NSG) associati ai tuoi cluster Kubernetes. Se esiste una regola NSG che consente il traffico in entrata senza restrizioni sulla porta 22 (SSH), esegui una delle seguenti operazioni:

• Rimuovi completamente la regola: se l'accesso SSH ai nodi del cluster non è richiesto da internet, rimuovi la regola per eliminare potenziali vettori di attacco.
• Limita l'ambito della regola: limita l'accesso in entrata sulla porta 22 solo agli indirizzi o intervalli IP specifici che lo richiedono. In questo modo si riduce al minimo la superficie esposta a potenziali attacchi.

Converti i pool di nodi pubblici in privati

Per proteggere al meglio i cluster con nodi pubblici, ti consigliamo di disattivare prima SSH tramite il gruppo di sicurezza, come descritto nella sezione precedente. Se non riesci a disattivare SSH tramite le regole del gruppo di sicurezza, puoi convertire i pool di nodi pubblici in privati rimuovendo gli indirizzi IP pubblici associati alle VM.

Per rimuovere un indirizzo IP pubblico da una VM e sostituirlo con una configurazione di indirizzo IP privato, consulta Annullare l'associazione di un indirizzo IP pubblico a una VM Azure.

Impatto: tutte le connessioni esistenti che utilizzano l'indirizzo IP pubblico verranno interrotte. Assicurati di disporre di metodi di accesso alternativi, come una VPN o Azure Bastion.

Aggiornamento del 02/07/2024: la versione originale di questo bollettino per il software GDC per bare metal indicava erroneamente che le versioni delle patch erano in corso. Il software GDC per Bare Metal non è interessato direttamente perché non gestisce il daemon SSH o la configurazione del sistema operativo. Le versioni patch sono quindi responsabilità del fornitore del sistema operativo, come descritto nella sezione Che cosa devo fare?.

Di recente è stata scoperta una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387, in OpenSSH. La vulnerabilità sfrutta una race condition che potrebbe essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli autori di attacchi di ottenere l'accesso root ai nodi GKE. Al momento della pubblicazione, si ritiene che lo sfruttamento sia difficile e richieda diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Aggiornamento del 02/07/2024: contatta il tuo fornitore di sistema operativo per ottenere una patch per i sistemi operativi in uso con il software GDC per bare metal.

Finché non hai applicato la patch del fornitore del sistema operativo, assicurati che le macchine raggiungibili pubblicamente non consentano connessioni SSH da internet. Se non è possibile, un'alternativa è impostare LoginGraceTime su zero e riavviare il server sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Tieni presente che questa modifica alla configurazione potrebbe aumentare il rischio di attacchi Denial of Service e potrebbe causare problemi con l'accesso SSH legittimo.

Testo originale del 1° luglio 2024 (vedi l'aggiornamento del 2 luglio 2024 precedente per una correzione):

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26923

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 20/08/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26923

Che cosa devo fare?

Aggiornamento del 25/09/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.29.400
• 1.28.900

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26923

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26923

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26923

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26924

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 06/08/2024: sono state aggiunte le versioni patch per i node pool Ubuntu su GKE.

Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26924

Che cosa devo fare?

Aggiornamento del 17/09/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.29.400
• 1.28.800
• 1.16.11

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26924

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26924

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26924

Che cosa devo fare?

Non sono necessarie ulteriori azioni. Il software GDC per bare metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26584

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26584

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 18/07/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

La seguente versione di GKE viene aggiornata con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade dei tuoi node pool Container-Optimized OS alla seguente versione patch o versioni successive:

• 1.27.15-gke.1125000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Le seguenti versioni secondarie sono interessate, ma non è disponibile una versione patch. Aggiorneremo questo bollettino quando saranno disponibili le versioni della patch:

• 1,26
• 1,27

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26584

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26584

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 10/07/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei tuoi node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

Per le versioni secondarie 1.26 e 1.27, esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2024-26583

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Aggiornamento del 26/09/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.28.900-gke.113
• 1.29.400-gke.8

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

• CVE-2022-23222

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit dalla 2.0.7 alla 3.0.3.

GKE non utilizza una versione vulnerabile di Fluent Bit e non è interessato.

Che cosa devo fare?

GKE non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit dalla 2.0.7 alla 3.0.3.

GKE su VMware non utilizza una versione vulnerabile di Fluent Bit ed è inattivo.

Che cosa devo fare?

GKE su VMware non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit dalla 2.0.7 alla 3.0.3.

GKE su AWS non utilizza una versione vulnerabile di Fluent Bit ed è inattivo.

Che cosa devo fare?

GKE su AWS non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit dalla 2.0.7 alla 3.0.3.

GKE su Azure non utilizza una versione vulnerabile di Fluent Bit ed è inattivo.

Che cosa devo fare?

GKE su Azure non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

È stata scoperta una nuova vulnerabilità (CVE-2024-4323) in Fluent Bit che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit dalla 2.0.7 alla 3.0.3.

GKE on Bare Metal non utilizza una versione vulnerabile di Fluent Bit ed è inattivo.

Che cosa devo fare?

GKE on Bare Metal non è interessato da questa vulnerabilità. Non è richiesta alcuna azione da parte tua.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52620

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 18/07/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52620

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52620

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52620

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-52620

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26642

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 19/08/2024: le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26642

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26642

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26642

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26642

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26581

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 22/05/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei node pool Ubuntu alle seguenti versioni o successive:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26581

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26581

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26581

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26581

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26808

Aggiornamento del 09/05/2024: è stata corretta la gravità da media ad alta. Il bollettino originale indicava che i cluster Autopilot erano interessati, ma non era corretto. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 15/05/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei node pool Ubuntu alle seguenti versioni o successive:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26808

Che cosa devo fare?

Aggiornamento del 25/09/2024: le seguenti versioni del software GDC per VMware sono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade del software GDC per i cluster VMware alle seguenti versioni o versioni successive:

• 1.28.600
• 1.16.9

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26808

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26808

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26808

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Aggiornamento del 09/05/2024: è stata corretta la gravità da media ad alta.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26643

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 06/08/2024: sono state aggiunte le versioni patch per i node pool Ubuntu su GKE.

Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei tuoi node pool Ubuntu alle seguenti versioni o successive:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26643

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26643

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26643

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26643

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

I cluster GKE Standard e Autopilot sono interessati.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 18/07/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità su Ubuntu. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-26585

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Di recente è stata scoperta una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS al control plane di Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma tutti gli altri cluster sono interessati.

Sono interessati i cluster GKE Autopilot e Standard.

Che cosa devo fare?

Aggiornamento 24/04/2024: sono state aggiunte versioni patch per GKE.

Le seguenti versioni di GKE includono le patch di sicurezza di Golang per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE alle seguenti versioni o versioni successive:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE che incorporano queste patch. Per richiedere una patch in tempi più rapidi, contatta l'assistenza.

Mitiga il problema configurando le reti autorizzate per l'accesso al control plane:

Puoi mitigare gli effetti di questa classe di attacchi sui tuoi cluster configurando le reti autorizzate. Segui le istruzioni per abilitare le reti autorizzate per un cluster esistente.

Per scoprire di più su come le reti autorizzate controllano l'accesso al control plane, consulta Come funzionano le reti autorizzate. Per visualizzare l'accesso di rete autorizzato predefinito, consulta la tabella nella sezione Accesso agli endpoint del control plane.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul control plane Kubernetes.

Di recente è stata scoperta una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS al control plane di Google Kubernetes Engine (GKE).

Che cosa devo fare?

Aggiornamento del 17/07/2024: sono state aggiunte le versioni patch per GKE su VMware.

Le seguenti versioni di GKE su VMware includono il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE on VMware alle seguenti versioni o successive:

• 1.29.0
• 1.28.500
• 1.16.8

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE su VMware che incorporano queste patch. Per richiedere una patch in tempi più rapidi, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul control plane Kubernetes.

Di recente è stata scoperta una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS al control plane di Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE su AWS che incorporano queste patch. Per richiedere una patch in tempi più rapidi, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul control plane Kubernetes.

Di recente è stata scoperta una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS al control plane di Google Kubernetes Engine (GKE).

Che cosa devo fare?

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE su Azure che incorporano queste patch. Per richiedere una patch in tempi più rapidi, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul control plane Kubernetes.

Di recente è stata scoperta una vulnerabilità Denial of Service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS al control plane di Google Kubernetes Engine (GKE).

Che cosa devo fare?

Aggiornamento del 09/07/2024: sono state aggiunte le versioni patch per GKE on Bare Metal.

Le seguenti versioni di GKE on Bare Metal includono il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster GKE on Bare Metal alle seguenti versioni o versioni successive:

• 1.29.100
• 1.28.600
• 1.16.9

Il progetto golang ha rilasciato patch il 3 aprile 2024. Aggiorneremo questo bollettino quando saranno disponibili le versioni di GKE on Bare Metal che incorporano queste patch. Per richiedere una patch in tempi più rapidi, contatta l'assistenza.

Quali vulnerabilità vengono affrontate da questa patch?

La vulnerabilità (CVE-2023-45288) consente a un utente malintenzionato di eseguire un attacco DoS sul control plane Kubernetes.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Aggiornamento del 06/05/2024: le seguenti versioni di GKE sono aggiornate con il codice per correggere questa vulnerabilità in Ubuntu. Esegui l'upgrade dei node pool Ubuntu alle versioni seguenti o successive.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Aggiornamento del 04/04/2024: sono state corrette le versioni minime per i node pool GKE Container-Optimized OS.

Le versioni minime di GKE contenenti le correzioni di Container-Optimized OS elencate in precedenza erano errate. Le seguenti versioni di GKE vengono aggiornate con il codice per correggere questa vulnerabilità su Container-Optimized OS. Esegui l'upgrade dei tuoi node pool Container-Optimized OS alle seguenti versioni o successive:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-1085

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3611

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3776

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-3610

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2024-0193

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu:

• CVE-2023-6932

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

I cluster GKE Standard sono interessati. I cluster GKE Autopilot nella configurazione predefinita non sono interessati, ma potrebbero essere vulnerabili se imposti esplicitamente il profilo seccomp Unconfined o consenti CAP_NET_ADMIN.

I cluster che utilizzano GKE Sandbox non sono interessati.

Che cosa devo fare?

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei pool di nodi Container-Optimized OS a una delle seguenti versioni patch o successive:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Sono interessate le seguenti versioni secondarie. Esegui l'upgrade dei node pool Ubuntu a una delle seguenti versioni patch o successive:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

Che cosa devo fare?

Aggiornamento del 17/04/2024: sono state aggiunte le versioni patch per GKE su VMware.

Le seguenti versioni di GKE on VMware vengono aggiornate con il codice per correggere questa vulnerabilità. Esegui l'upgrade dei cluster alle seguenti versioni o successive:

• 1.28.200
• 1.16.6
• 1.15.10

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

Che cosa devo fare?

Nel kernel Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS e Ubuntu.

• CVE-2023-6931

Che cosa devo fare?

Non sono necessarie ulteriori azioni. GKE su Bare Metal non è interessato, in quanto non include un sistema operativo nella sua distribuzione.

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Potrebbero essere interessati i cluster GKE Standard che eseguono nodi Windows Server e utilizzano un plug-in di archiviazione in-tree.

I cluster GKE Autopilot e i pool di nodi GKE che utilizzano GKE Sandbox non sono interessati perché non supportano i nodi Windows Server.

Che cosa devo fare?

Determina se nei tuoi cluster sono in uso nodi Windows Server:

kubectl get nodes -l kubernetes.io/os=windows

Controlla i log di controllo per verificare se sono presenti prove di sfruttamento. I log di controllo di Kubernetes possono essere controllati per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi del percorso locale contenenti caratteri speciali sono un forte indicatore di sfruttamento.

Aggiorna il cluster GKE e i node pool a una versione patchata. Le seguenti versioni di GKE sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei pool di nodi Windows Server a una delle seguenti versioni di GKE o successive:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Puoi applicare le versioni patch dei canali di rilascio più recenti se il cluster esegue la stessa versione secondaria nel proprio canale di rilascio. Questa funzionalità ti consente di proteggere i nodi finché la versione patch non diventa quella predefinita nel tuo canale di rilascio. Per maggiori dettagli, vedi Eseguire versioni patch da un canale più recente.

Quali vulnerabilità vengono affrontate da questa patch?

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

I cluster GKE on VMware che eseguono nodi Windows Server e utilizzano un plug-in di archiviazione in-tree potrebbero essere interessati.

Che cosa devo fare?

Determina se nei tuoi cluster sono in uso nodi Windows Server:

kubectl get nodes -l kubernetes.io/os=windows

Controlla i log di controllo per verificare se sono presenti prove di sfruttamento. I log di controllo di Kubernetes possono essere controllati per determinare se questa vulnerabilità viene sfruttata. Gli eventi di creazione di volumi permanenti con campi del percorso locale contenenti caratteri speciali sono un forte indicatore di sfruttamento.

Aggiorna il cluster GKE on VMware e i node pool a una versione patchata. Le seguenti versioni di GKE on VMware sono state aggiornate per correggere questa vulnerabilità. Anche se hai abilitato l'upgrade automatico dei nodi, ti consigliamo di eseguire l'upgrade manuale del cluster e dei node pool Windows Server a una delle seguenti versioni di GKE su VMware o successive:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41