安全性公告

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38001

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.33.1-gke.1959000
• 1.30.12-gke.1279000
• 1.31.9-gke.1287000
• 1.28.15-gke.2428000
• 1.29.15-gke.1549000
• 1.32.4-gke.1698000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38001

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38001

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38001

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38001

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37997

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.28.15-gke.2403000
• 1.31.9-gke.1176000
• 1.30.12-gke.1246000
• 1.29.15-gke.1523000
• 1.33.1-gke.1545000
• 1.27.16-gke.2874000
• 1.32.4-gke.1603000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37997

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37997

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37997

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37997

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38000

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.33.1-gke.1545000
• 1.27.16-gke.2874000
• 1.32.4-gke.1603000
• 1.28.15-gke.2403000
• 1.30.12-gke.1246000
• 1.31.9-gke.1176000
• 1.29.15-gke.1523000

如果叢集在自己的發布版本中執行相同的子版本，您就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38000

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38000

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38000

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-38000

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們發現一項安全性問題，攻擊者可能可以規避 GKE 叢集的工作負載隔離限制。只有依賴節點隔離功能來分隔叢集內工作負載的叢集會受到影響。請注意，節點隔離絕不應做為主要安全邊界。

如要利用這項安全漏洞，攻擊者必須先取得 kubelet 節點用戶端憑證。如要存取這些憑證，通常需要主機的根權限和主機檔案系統的存取權。對大多數系統而言，這表示您需要應用程式漏洞才能存取工作負載，並需要容器突破漏洞才能存取主機。如果攻擊者取得這類憑證，可能會採取下列行動：

• 攻擊者可能會重新註冊節點，並使用相同名稱，但 Node 物件中某些欄位的值不同。具體來說，攻擊者可以將 .spec.providerID 設為指向叢集中的其他執行個體，導致 GKE 控制平面刪除參照的 Compute Engine 執行個體。
• 攻擊者也可能變更 .spec.taints，影響工作負載排程。 實作節點隔離做為安全控管措施時，您必須使用標籤和標籤選取器，並加上 node-restriction.kubernetes.io/ 前置字元，防止遭入侵的節點操控排程行為。

該怎麼辦？

如要解決這個問題，請進行下列變更：

將 GKE 叢集升級至修補版本，解決供應商 ID 問題。下列 GKE 版本或更新版本已更新，可解決 providerID 問題：

• 1.33.1-gke.1386000
• 1.32.4-gke.1533000
• 1.31.9-gke.1119000
• 1.30.12-gke.1208000

或者，如果無法升級，請在叢集上實作下列驗證許可政策，以減輕 providerID 問題：

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicy
metadata:
  name: validate-node-providerid
spec:
  failurePolicy: Fail
  matchConstraints:
    resourceRules:
    - apiGroups:   [""]
      apiVersions: ["v1"]
      operations:  ["CREATE", "UPDATE"]
      resources:   ["nodes"]
  matchConditions:
  - name: "has-providerid"
    expression: "has(object.spec.providerID)"
  validations:
  - expression: "object.spec.providerID == '' || object.spec.providerID.endsWith('/' + object.metadata.name)"
    message: "node.spec.providerID must match the node name"
---
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicyBinding
metadata:
  name: validate-node-providerid-binding
spec:
  policyName: validate-node-providerid
  validationActions: [Deny]

將工作負載隔離到特定節點時，請使用節點限制標籤做為安全控管措施

如果您使用標籤進行節點隔離 (如 Kubernetes 說明文件所述)，請在用於工作負載隔離的節點親和性和節點選取器條件中，使用節點受限標籤 (例如 node-restriction.kubernetes.io/example-constraint 形式的標籤)。

Kubelet 節點憑證無法套用這類標籤，因為 NodeRestriction 准入控制器會禁止這類行為。Kubernetes 內建 NodeRestriction 准入控制器，且所有 GKE 叢集都會啟用這項控制器。

GKE 會限制新叢集新建立節點的節點憑證範圍

為進一步強化安全性，從 GKE 1.33.1-gke.1386000 版開始，新叢集會限制新建立節點的節點憑證範圍。節點憑證會繫結至最初為節點佈建的 Compute Engine 執行個體。刪除執行個體後，攻擊者就無法使用遭盜用的憑證註冊節點，並控制汙點或 providerID 值。您可以建立版本為 1.33.1-gke.1386000 以上的新叢集，讓新建立的節點具備這項額外強化功能。

我們發現一項安全性問題，攻擊者可能可以規避 GKE 叢集的工作負載隔離限制。

該怎麼辦？

您無須採取任何行動。這個問題與 Compute Engine 上 GKE 節點的佈建和管理方式有關，不適用於 GDC (VMware)。

我們發現一項安全性問題，攻擊者可能可以規避 GKE 叢集的工作負載隔離限制。

該怎麼辦？

GKE on AWS

您無須採取任何行動。這個問題與 Compute Engine 上 GKE 節點的佈建和管理方式有關，不適用於 GKE on AWS。

GKE on AWS (舊版)

您無須採取任何行動。這個問題與 Compute Engine 上 GKE 節點的佈建和管理方式有關，不適用於 GKE on AWS (上一代)。

我們發現一項安全性問題，攻擊者可能可以規避 GKE 叢集的工作負載隔離限制。

該怎麼辦？

您無須採取任何行動。這個問題與 Compute Engine 上 GKE 節點的佈建和管理方式有關，不適用於 Azure 上的 GKE。

我們發現一項安全性問題，攻擊者可能可以規避 GKE 叢集的工作負載隔離限制。

該怎麼辦？

您無須採取任何行動。這個問題與 Compute Engine 上 GKE 節點的佈建和管理方式有關，不適用於 GDC (Bare Metal)。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37798

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.29.15-gke.1415000
• 1.30.12-gke.1168000
• 1.31.9-gke.1044000
• 1.27.16-gke.2771000
• 1.28.15-gke.2303000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37798

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37798

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37798

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37798

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37797

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.32.4-gke.1415000
• 1.28.15-gke.2303000
• 1.27.16-gke.2820000
• 1.33.1-gke.1107000
• 1.29.15-gke.1415000
• 1.31.9-gke.1044000
• 1.30.12-gke.1168000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37797

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37797

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37797

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-37797

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21702

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 5 月 22 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 GKE Ubuntu 節點集區升級至下列版本以上：

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.29.15-gke.1193000
• 1.30.11-gke.1157000
• 1.31.7-gke.1265000
• 1.32.3-gke.1785000
• 1.28.15-gke.2072000
• 1.27.16-gke.2650000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21702

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21702

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21702

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21702

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21971

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 6 月 2 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 GKE Ubuntu 節點集區升級至下列版本以上：

• 1.27.16-gke.2820000
• 1.28.15-gke.2303000
• 1.29.15-gke.1415000
• 1.30.12-gke.1168000
• 1.31.9-gke.1044000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.28.15-gke.2142000
• 1.30.11-gke.1157000
• 1.31.7-gke.1265000
• 1.32.3-gke.1785000
• 1.29.15-gke.1193000
• 1.27.16-gke.2682000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21971

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21971

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21971

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21971

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-21701

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 5 月 22 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 GKE Ubuntu 節點集區升級至下列版本以上：

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.2440000
• 1.28.15-gke.1844000
• 1.29.14-gke.1018000
• 1.30.10-gke.1042000
• 1.31.6-gke.1020000
• 1.32.1-gke.1729000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-21701

該怎麼辦？

2025 年 6 月 26 日更新： 下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本以上：

• 1.32.0-gke.1087
• 1.31.300-gke.81
• 1.30.700-gke.56

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-21701

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-21701

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-21701

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-40364

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.2573000
• 1.28.15-gke.2003000
• 1.29.15-gke.1017000
• 1.30.10-gke.1227000
• 1.31.6-gke.1221000
• 1.32.2-gke.1652000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-40364

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-40364

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-40364

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2025-40364

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21756

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 5 月 22 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 GKE Ubuntu 節點集區升級至下列版本以上：

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.31.6-gke.1221000
• 1.30.11-gke.1093000
• 1.29.15-gke.1134000
• 1.27.16-gke.2650000
• 1.32.3-gke.1170000
• 1.28.15-gke.2097000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21756

該怎麼辦？

2025 年 5 月 5 日更新： 下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本以上：

• 1.31.400-gke.110
• 1.29.1300-gke.98

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21756

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21756

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21756

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2023-52927

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 5 月 22 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 GKE Ubuntu 節點集區升級至下列版本以上：

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.31.6-gke.1064000
• 1.28.15-gke.2097000
• 1.32.2-gke.1652000
• 1.27.16-gke.2650000
• 1.29.15-gke.1134000
• 1.30.11-gke.1093000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2023-52927

該怎麼辦？

2025 年 4 月 29 日更新： 下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本以上：

• 1.31.400-gke.110
• 1.30.800-gke.66

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2023-52927

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2023-52927

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2023-52927

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21700

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 5 月 22 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 GKE Ubuntu 節點集區升級至下列版本以上：

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000
• 1.32.4-gke.1236000
• 1.33.0-gke.1868000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.32.2-gke.1652000
• 1.28.15-gke.1844000
• 1.30.10-gke.1070000
• 1.31.6-gke.1064000
• 1.27.16-gke.2451000
• 1.29.14-gke.1067000

如果叢集在自己的發布版本中執行相同的子版本，您就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21700

該怎麼辦？

2025 年 4 月 17 日更新： 下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.30.600-gke.68
• 1.29.1100-gke.82
• 1.31.300-gke.81

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21700

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21700

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21700

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21703

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 5 月 22 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 GKE Ubuntu 節點集區升級至下列版本以上：

• 1.27.16-gke.2771000
• 1.28.15-gke.2239000
• 1.29.15-gke.1325000
• 1.30.12-gke.1086000
• 1.31.8-gke.1113000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.32.3-gke.1170000
• 1.29.15-gke.1017000
• 1.27.16-gke.2573000
• 1.28.15-gke.2003000
• 1.30.10-gke.1227000
• 1.31.6-gke.1221000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21703

該怎麼辦？

2025 年 5 月 5 日更新： 下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本以上：

• 1.29.1300-gke.98
• 1.31.300-gke.81
• 1.30.800-gke.66

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21703

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21703

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2025-21703

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

NGINX Ingress Controller (ingress-nginx) 是一種開放原始碼軟體元件，可在 Kubernetes 叢集內執行，協助管理進入叢集的網路流量。我們在 NGINX Ingress Controller 中發現多項安全性問題，其中最嚴重的是 CVE-2025-1974。如需完整詳細資料和完整清單，請參閱 Kubernetes CVE 動態饋給。

這些問題會影響 ingress-nginx。如果叢集未安裝 ingress-nginx，就不會受到影響。

GKE 叢集不會使用 ingress-nginx，因此除非您在叢集上安裝 ingress-nginx，否則不會受到這些安全性問題影響。如果您在 GKE 叢集上安裝了 ingress-nginx，可能會受到這些安全問題影響。

使用 CVE-2025-1974，未經驗證的攻擊者只要能存取 Pod 網路，就能在 ingress-nginx 控制器環境中執行任意程式碼。這可能會導致控制器可存取的密鑰外洩。 使用 ingress-nginx 的預設設定時，控制器可以存取整個叢集中的所有密鑰。

該怎麼辦？

1. 使用下列任一指令，檢查 GKE 叢集是否使用 ingress-nginx：

   • 檢查個別叢集：

     kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

   • 使用 Cloud Asset Inventory 資源搜尋查詢，一次檢查多個叢集：

     gcloud asset search-all-resources \
         --scope='organizations/ORGANIZATION_ID' \
         --asset-types='k8s.io/Pod' \
         --query='labels."app.kubernetes.io/name"="ingress-nginx"'

     將 ORGANIZATION_ID 替換為機構資源 ID。詳情請參閱「取得機構資源 ID」。

2. 請將 ingress-nginx 升級至修補版本。詳情請參閱 Kubernetes 官方 CVE 動態饋給。

3. 請參閱這篇文章，瞭解如何在 GKE 中自訂網路隔離。

   如要降低來自不受信任網路的風險，請考慮使用私人節點，並確保已設定限制性防火牆設定。

NGINX Ingress Controller (ingress-nginx) 是一種開放原始碼軟體元件，可在 Kubernetes 叢集內執行，協助管理進入叢集的網路流量。我們發現這個元件存在多項安全性問題，其中最嚴重的是 CVE-2025-1974。如需完整詳細資料和完整清單，請參閱 Kubernetes CVE 動態饋給。

這些問題會影響 ingress-nginx。如果叢集未安裝 ingress-nginx，就不會受到影響。

VMware 叢集的 GDC 軟體不會使用 ingress-nginx，因此除非您在叢集上安裝 ingress-nginx，否則不會受到這些安全問題影響。如果您已在 VMware 叢集的 GDC 軟體上安裝 ingress-nginx，可能容易受到這些安全問題影響。

使用 CVE-2025-1974，未經驗證的攻擊者只要能存取 Pod 網路，就能在 ingress-nginx 控制器的環境中執行任意程式碼。這可能會導致控制器可存取的密鑰外洩。 使用 ingress-nginx 的預設設定時，控制器可以存取整個叢集中的所有密鑰。

該怎麼辦？

1. 檢查 VMware 叢集的 GDC 軟體是否使用 ingress-nginx：

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. 請將 ingress-nginx 升級至修補版本。詳情請參閱官方 Kubernetes CVE 動態饋給。

NGINX Ingress Controller (ingress-nginx) 是一種開放原始碼軟體元件，可在 Kubernetes 叢集內執行，協助管理進入叢集的網路流量。我們發現這個元件存在多項安全性問題，其中最嚴重的是 CVE-2025-1974。如需完整詳細資料和完整清單，請參閱 Kubernetes CVE 動態饋給。

這些問題會影響 ingress-nginx。如果叢集未安裝 ingress-nginx，就不會受到影響。

AWS 上的 GKE 叢集不會使用 ingress-nginx，因此除非您在叢集上安裝 ingress-nginx，否則不會受到這些安全問題影響。如果您已在 AWS 上的 GKE 叢集安裝 ingress-nginx，可能容易受到這些安全問題影響。

使用 CVE-2025-1974，未經驗證的攻擊者只要能存取 Pod 網路，就能在 ingress-nginx 控制器的環境中執行任意程式碼。這可能會導致控制器可存取的密鑰外洩。 使用 ingress-nginx 的預設設定時，控制器可以存取整個叢集中的所有密鑰。

該怎麼辦？

1. 檢查 GKE on AWS 叢集是否使用 ingress-nginx：

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. 請將 ingress-nginx 升級至修補版本。詳情請參閱 Kubernetes 官方 CVE 動態饋給。

NGINX Ingress Controller (ingress-nginx) 是一種開放原始碼軟體元件，可在 Kubernetes 叢集內執行，協助管理進入叢集的網路流量。我們發現這個元件存在多項安全性問題，其中最嚴重的是 CVE-2025-1974。如需完整詳細資料和完整清單，請參閱 Kubernetes CVE 動態饋給。

這些問題會影響 ingress-nginx。如果叢集未安裝 ingress-nginx，就不會受到影響。

Azure 上的 GKE 叢集不會使用 ingress-nginx，因此除非您在叢集上安裝 ingress-nginx，否則不會受到這些安全性問題影響。如果您已在 Azure 上的 GKE 叢集安裝 ingress-nginx，可能會受到這些安全問題影響。

使用 CVE-2025-1974，未經驗證的攻擊者只要能存取 Pod 網路，就能在 ingress-nginx 控制器的環境中執行任意程式碼。這可能會導致控制器可存取的密鑰外洩。 使用 ingress-nginx 的預設設定時，控制器可以存取整個叢集中的所有密鑰。

該怎麼辦？

1. 檢查 Azure 上的 GKE 叢集是否使用 ingress-nginx：

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. 請將 ingress-nginx 升級至修補版本。詳情請參閱官方 Kubernetes CVE 動態饋給。

NGINX Ingress Controller (ingress-nginx) 是一種開放原始碼軟體元件，可在 Kubernetes 叢集內執行，協助管理進入叢集的網路流量。我們發現這個元件存在多項安全性問題，其中最嚴重的是 CVE-2025-1974。如需完整詳細資料和完整清單，請參閱 Kubernetes CVE 動態饋給。

這些問題會影響 ingress-nginx。如果叢集未安裝 ingress-nginx，就不會受到影響。

裸機叢集的 GDC 軟體不會使用 ingress-nginx，因此除非您在叢集上安裝 ingress-nginx，否則不會受到這些安全問題影響。如果您已在裸機叢集的 GDC 軟體上安裝 ingress-nginx，可能容易受到這些安全問題影響。

使用 CVE-2025-1974，未經驗證的攻擊者只要能存取 Pod 網路，就能在 ingress-nginx 控制器的環境中執行任意程式碼。這可能會導致控制器可存取的密鑰外洩。 使用 ingress-nginx 的預設設定時，控制器可以存取整個叢集中的所有密鑰。

該怎麼辦？

1. 檢查裸機叢集的 GDC 軟體是否使用以下版本： ingress-nginx

   kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx

2. 請將 ingress-nginx 升級至修補版本。詳情請參閱官方 Kubernetes CVE 動態饋給。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53164

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 4 月 10 日更新： 下列 GKE 版本已更新程式碼，可修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.31.6-gke.1064000
• 1.27.16-gke.2451000
• 1.28.15-gke.1844000
• 1.29.14-gke.1067000
• 1.30.10-gke.1070000
• 1.32.2-gke.1652000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.2451000
• 1.32.2-gke.1182000
• 1.29.14-gke.1067000
• 1.30.10-gke.1070000
• 1.31.6-gke.1064000
• 1.28.15-gke.1844000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53164

該怎麼辦？

2025 年 4 月 10 日更新： 下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本以上：

• 1.29.1100-gke.82
• 1.31.200-gke.58
• 1.30.500-gke.126

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53164

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53164

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53164

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-56770

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 6 月 2 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 GKE Ubuntu 節點集區升級至下列版本以上：

• 1.27.16-gke.2732000
• 1.28.15-gke.2192000
• 1.29.15-gke.1274000
• 1.30.12-gke.1151000
• 1.31.8-gke.1113000
• 1.32.4-gke.1415000
• 1.33.1-gke.1107000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.2387000
• 1.28.15-gke.1612000
• 1.29.13-gke.1006000
• 1.30.8-gke.1261000
• 1.31.5-gke.1023000
• 1.32.1-gke.1729000

如果叢集在自己的發布版本中執行相同的子版本，您就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-56770

該怎麼辦？

2025 年 4 月 10 日更新： 下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本以上：

• 1.31.200-gke.58
• 1.30.500-gke.126
• 1.29.1100-gke.82

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-56770

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-56770

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-56770

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

Envoy 專案最近發布了幾項新的安全漏洞 (CVE-2024-53269、CVE-2024-53270 和 CVE-2024-53271)，攻擊者可利用這些漏洞導致 Envoy 停止運作。

使用 GKE 適用的 Identity 服務的 GKE 次要版本 1.31 和 1.32 會受到影響。使用 GKE Sandbox 的叢集和 GKE Autopilot 叢集也會受到影響。

該怎麼辦？

將 GKE 叢集和節點集區升級至下列其中一個版本或更新版本：

• 1.31.3-gke.1162000
• 1.32.0-gke.1448000

即使已啟用節點自動升級功能，我們仍建議您手動升級叢集。

最近推出的發布管道功能可讓您套用修補程式，不必取消訂閱管道。這樣一來，您就能保護節點，直到新版本成為特定發布管道的預設版本為止。

Envoy 專案最近發布了幾項新的安全漏洞 (CVE-2024-53269、CVE-2024-53270 和 CVE-2024-53271)，攻擊者可藉此導致 Envoy 停止運作。

使用 Cloud Service Mesh 1.23.3-asm.3 版的 VMware 1.31、1.30 和 1.29 版 GDC 軟體會受到影響。

該怎麼辦？

下列版本的 VMware 專用 GDC 軟體已更新程式碼，可修正這個安全漏洞。建議您將管理員和使用者叢集升級至下列其中一個 GDC on VMware 軟體版本：

• 1.31.200
• 1.30.600
• 1.29.1000

Envoy 專案最近發布了幾項新的安全漏洞 (CVE-2024-53269、CVE-2024-53270 和 CVE-2024-53271)，攻擊者可藉此導致 Envoy 停止運作。

GKE on AWS 不會隨附 Envoy，因此不受影響。

該怎麼辦？

您無須採取任何行動。

Envoy 專案最近發布了幾項新的安全漏洞 (CVE-2024-53269、CVE-2024-53270 和 CVE-2024-53271)，攻擊者可藉此導致 Envoy 停止運作。

GKE on Azure 不會隨附 Envoy，因此不受影響。

該怎麼辦？

您無須採取任何行動。

Envoy 專案最近發布了幾項新的安全漏洞 (CVE-2024-53269、CVE-2024-53270 和 CVE-2024-53271)，攻擊者可藉此導致 Envoy 停止運作。

該怎麼辦？

下列裸機適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。建議您將叢集升級至下列其中一個裸機適用的 GDC 軟體版本：

• 1.31.200-gke.59
• 1.30.600-gke.69
• 1.29.1100-gke.84

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-53141

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.2296000
• 1.28.15-gke.1673000
• 1.29.13-gke.1038000
• 1.30.9-gke.1009000
• 1.31.5-gke.1023000
• 1.32.1-gke.1729000

下列子版本會受到影響。 升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.27.16-gke.2342000
• 1.28.15-gke.1720000
• 1.29.13-gke.1109000
• 1.30.9-gke.1127000
• 1.31.5-gke.1169000
• 1.32.1-gke.1729000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-53141

該怎麼辦？

2025 年 4 月 10 日更新： 下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本以上：

• 1.31.200-gke.58
• 1.30.600-gke.68
• 1.29.1100-gke.82

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-53141

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-53141

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-53141

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Google Secret Manager Provider for Secret Store CSI Driver 中發現安全性問題，如要利用這項安全漏洞，攻擊者必須能夠執行下列操作：

1. 在執行 CSI 驅動程式的節點上建立 Pod。
2. 在與這些 Pod 相同的命名空間中建立密鑰。
3. 在 Pod 上掛接 Secrets Store CSI 磁碟區，並設定 nodePublishSecretRef 選項。
4. 在 Secret 中提供惡意的應用程式預設憑證設定。
5. 在磁碟區掛接的 nodePublishSecretRef 選項中參照 Secret。

按照這些步驟操作，攻擊者就能誘騙 CSI 驅動程式，將 CSI 驅動程式的 Kubernetes 服務帳戶權杖洩漏至攻擊者控管的網址。

您可透過兩種方式，將 Secret Manager Provider 與 GKE 叢集搭配使用。GKE 專用的 Secret Manager 外掛程式是 GKE 叢集提供的受管理功能。或者，GKE 使用者可以在 GKE 叢集上安裝開放原始碼的 Google Secret Manager Provider for Secret Store CSI Driver。在這兩種情況下，供應商都會允許 Kubernetes Pod 存取儲存在 Google Cloud Secret Manager 中的密鑰，並將這些密鑰掛接至 Pod 做為磁碟區中的檔案。

受管理 GKE Secret Manager 外掛程式和開放原始碼 Secret Manager Provider 的修正程式都會停用 nodePublishSecretRef，以避免發生這個問題。經判斷，這不會影響 GKE Secret Manager 外掛程式的現有用途。如果 GKE 叢集使用開放原始碼 Secret Manager Provider，且具有 nodePublishSecretRef，則可能會受到影響，但這類叢集數量極少。開放原始碼修補程式可讓您視需要透過 ALLOW_NODE_PUBLISH_SECRET 環境變數重新啟用 nodePublishSecretRef 功能。

該怎麼辦？

視 GKE 叢集使用 Secret Manager Provider 的方式，採取下列任一做法：

代管 GKE Secret Manager 外掛程式

如果您使用代管 GKE 外掛程式，請將 GKE 叢集升級至修補版本。下列 GKE 版本已更新程式碼，可修正這個安全漏洞。將節點集區升級至下列版本或更新版本：

• 1.27.16-gke.2051000
• 1.28.15-gke.1362000
• 1.29.11-gke.1012000
• 1.30.6-gke.1596000
• 1.31.1-gke.1846000

如要盡快取得修正程式，建議您手動升級叢集和標準節點集區，改用已修補的 GKE 版本。透過 GKE 發布版本，您可以在新版本成為所選發布版本的自動升級目標前，先進行修補。

開放原始碼 Secret Manager Provider

如果您使用開放原始碼的 Secret Manager 提供者，請升級至 1.7.0.。如果您使用 Helm Chart，最新版本已參照 1.7.0。如果您直接根據 deploy/provider-gcp-plugin.yaml 檔案安裝，請注意該檔案中的映像檔也已更新。

Google Secret Manager Provider for Secret Store CSI Driver 存在安全漏洞，攻擊者只要在命名空間中擁有 Pod 和密鑰建立權限，就能在 Pod 上掛接惡意磁碟區，藉此竊取 CSI 驅動程式的 Kubernetes 服務帳戶權杖。

該怎麼辦？

如果您手動安裝開放原始碼 Secret Manager Provider，可能會受到影響。請參閱「GKE」分頁中的開放原始碼 Secret Manager Provider 相關操作說明。

GDC (VMware) 叢集不會受到影響，因為這類叢集不提供受管理的外掛程式，因此您不必採取其他行動。

Google Secret Manager Provider for Secret Store CSI Driver 的漏洞，可讓在命名空間中擁有 Pod 和密鑰建立權限的攻擊者，透過在 Pod 上掛接惡意磁碟區，外洩 CSI 驅動程式的 Kubernetes 服務帳戶權杖。

該怎麼辦？

如果您手動安裝開放原始碼 Secret Manager Provider，可能會受到影響。請參閱「GKE」分頁中的開放原始碼 Secret Manager Provider 相關操作說明。

GKE on AWS 叢集不會受到影響，因為這類叢集不提供代管外掛程式，因此不需要採取任何行動。

Google Secret Manager Provider for Secret Store CSI Driver 存在安全漏洞，攻擊者只要在命名空間中擁有 Pod 和密鑰建立權限，就能在 Pod 上掛接惡意磁碟區，藉此竊取 CSI 驅動程式的 Kubernetes 服務帳戶權杖。

該怎麼辦？

如果您手動安裝開放原始碼 Secret Manager Provider，可能會受到影響。請參閱「GKE」分頁中的開放原始碼 Secret Manager Provider 相關操作說明。

Azure 上的 GKE 叢集不會受到影響，因為這類叢集不提供受管理的外掛程式，因此您不必採取其他行動。

Google Secret Manager Provider for Secret Store CSI Driver 存在安全漏洞，攻擊者只要在命名空間中擁有 Pod 和密鑰建立權限，就能在 Pod 上掛接惡意磁碟區，藉此竊取 CSI 驅動程式的 Kubernetes 服務帳戶權杖。

該怎麼辦？

如果您手動安裝開放原始碼 Secret Manager Provider，可能會受到影響。請參閱「GKE」分頁中的開放原始碼 Secret Manager Provider 相關操作說明。

GDC (Bare Metal) 叢集不受影響，因為這類叢集不提供受管理的外掛程式，因此不需要採取進一步行動。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-50264

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 1 月 23 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列任一版本或更新版本：

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.2081000
• 1.28.15-gke.1480000
• 1.29.12-gke.1055000
• 1.30.8-gke.1051000
• 1.31.4-gke.1072000
• 1.32.0-gke.1448000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-50264

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-50264

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-50264

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-50264

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53057

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2025 年 1 月 23 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列任一版本或更新版本：

• 1.27.16-gke.2270000
• 1.28.15-gke.1641000
• 1.29.13-gke.1006000
• 1.30.8-gke.1282000
• 1.31.5-gke.1023000
• 1.32.1-gke.1002000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.1836000
• 1.28.15-gke.1342000
• 1.29.11-gke.1012000
• 1.30.7-gke.1077000
• 1.31.3-gke.1056000
• 1.32.0-gke.1448000

如果叢集在自己的發布版本中執行相同的子版本，您就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53057

該怎麼辦？

2025 年 1 月 22 日更新：下列版本的 GDC (VMware) 已更新程式碼，修正這個安全漏洞。 將 GDC (VMware) 叢集升級至下列版本或更新版本：

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53057

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53057

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-53057

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

2025 年 1 月 23 日更新：更新「受影響的資源」一節。

2025 年 1 月 8 日更新：問題實際發生時間為 2024 年 12 月 4 日 22:47 (世界標準時間)。

2024 年 12 月 8 日 13:44 (世界標準時間) 發生安全性問題，並於 2025 年 1 月 4 日 04:00 (世界標準時間) 解決。這個安全性問題會影響已設定 GKE 多叢集閘道 (MCG) 的 VPC 資源。MCG 是選用功能，只有少數 GKE 客戶會使用。我們已個別通知在該期間啟用這項功能的客戶。

多叢集閘道 (MCG) 是 GKE 功能，可讓客戶在多個叢集之間進行流量負載平衡。如要執行這項功能，MCG 必須變更專案層級的 Google Cloud 防火牆。MCG 發生錯誤，導致系統建立輸入防火牆規則，允許 TCP 流量傳送到 VPC 內的所有 IP (0.0.0.0/0) 和通訊埠。我們已採取措施，避免日後發生這類錯誤。

由於防火牆是虛擬私有雲層級的允許清單，因此在該時間範圍內，下列類型的資源可能可透過網路連線：

• 透過公開 IP 存取在 GKE 工作人員節點上執行的客戶應用程式。
• 在具有公用 IP 的 Compute Engine 虛擬機器 (VM) 上執行的客戶應用程式。
• 與叢集位於相同虛擬私有雲，且具有公開 IP 和接聽埠的任何其他 Google Cloud 資源。

GKE 工作節點、Compute Engine VM 和其他僅使用私人 IP 的資源，可能在 VPC 內更廣泛地可供存取，但無法存取網際網路。如果應用程式受到下列機制保護，就能降低或消除風險：

• 優先順序相同或較高的防火牆規則 (MCG 預設會將防火牆規則優先順序設為 1000)DENY
• 使用以身分為基礎的授權機制，建立服務網格
• 應用程式層級授權

受影響的資源

2025 年 1 月 23 日更新：在共用虛擬私有雲服務專案中使用 MCG 的 GKE 叢集 (或中心) 不會受到這個問題影響，因為防火牆規則不是從共用虛擬私有雲服務專案管理。

凡是位於已設定 GKE MCG 且監聽公開 IP 的 VPC 中的資源，都會受到影響。受影響的資源包括但不限於在 GKE 工作站節點上執行的應用程式。

該怎麼辦？

我們已修正錯誤的防火牆設定，解決所有受影響 VPC 的問題。系統已自動修改錯誤建立的規則，並加入適當的來源範圍 (130.211.0.0/22、35.191.0.0/16)，允許來自 Google Cloud 健康狀態檢查基礎架構的輸入流量，以及 (選用) 內部閘道的僅限 Proxy 子網路範圍。如要進一步瞭解 MCG 在專案中自動建立的防火牆規則，請參閱 GKE Gateway 防火牆規則。

您也可以選擇使用 GKE MCG 檢查 VPC 上受管理的防火牆規則，確認問題是否已解決。確認使用 gkemcg1-l7- 前置字元的受管理防火牆規則已設定來源範圍。檢查這些規則，並確認已設定來源範圍。

如要列出目前環境中的 MCG 管理防火牆規則，請執行下列指令：

gcloud compute firewall-rules list --format="json" --filter="name:gkemcg1-l7-*" | jq -r '.[] | "\(.name): \(.sourceRanges // "No source range")"' | awk -F: '{if ($2 ~ /No source range|^\s*$/) print "Rule "$1" has an EMPTY or MISSING source range."; else print "Rule "$1" has source range(s): "$2;}'

如要搜尋 MCG 管理的防火牆設定更新記錄，請使用記錄檔探索工具執行下列查詢：

protoPayload.serviceName="compute.googleapis.com"
          resource.type="gce_firewall_rule"
          protoPayload.resourceName=~"projects/[^/]+/global/firewalls/gkemcg1-"
          -operation.last="true"

如要列出整個機構的 MCG 管理防火牆規則，請執行下列指令來查詢 Cloud Asset Inventory：

gcloud asset search-all-resources
          --scope='organizations/'
          --asset-types='compute.googleapis.com/Firewall'
          --query 'name: //compute.googleapis.com/projects/*/*/firewalls/gkemcg*'

下列額外控制項可提供縱深防禦機制，防範不受信任的網路，建議您考慮採用這些控制項，進一步提升安全防護能力：

• 使用私人 GKE 節點，確保節點只取得私人 IP。
• 盡可能使用明確的 DENY 防火牆政策。
• 使用階層式防火牆政策，覆寫虛擬私有雲層級的防火牆設定。
• 使用 Cloud Service Mesh 提供驗證和授權。
• 使用應用程式內驗證和授權。
• 使用機構政策服務封鎖允許所有流量的防火牆規則。如要這麼做，請建立限制，拒絕所有流量防火牆規則，並透過政策套用該限制。

建議您檢查設定和記錄，找出在上述時間範圍內可能暴露的應用程式或服務，並確認這些應用程式或服務不應暴露。您可以使用下列工具，檢查在 Google Cloud中執行的資源的連入流量：

• 虛擬私有雲流量記錄，可瞭解網路輸送量和效能
• Cloud Logging：搜尋及分析 Google Cloud 服務和應用程式傳送的記錄資料和事件
• 防火牆規則記錄，用於稽核、驗證及分析防火牆規則的效果
• Security Command Center：可查看安全性發現項目，瞭解是否有可疑的網路活動
• 應用程式記錄

我們發現安全問題，會影響多叢集閘道 (MCG)。這項 GKE 功能可讓客戶在多個叢集之間進行流量負載平衡。

GDC (VMware) 叢集不支援 MCG，因此不受影響。

該怎麼辦？

您無需採取任何動作。

我們發現安全問題，會影響多叢集閘道 (MCG)。這項 GKE 功能可讓客戶在多個叢集之間進行流量負載平衡。

AWS 上的 GKE 叢集不支援 MCG，因此不受影響。

該怎麼辦？

您無需採取任何動作。

我們發現安全問題，會影響多叢集閘道 (MCG)。這項 GKE 功能可讓客戶在多個叢集之間進行流量負載平衡。

Azure 上的 GKE 叢集不支援 MCG，因此不受影響。

該怎麼辦？

您無需採取任何動作。

我們發現安全問題，會影響多叢集閘道 (MCG)。這項 GKE 功能可讓客戶在多個叢集之間進行流量負載平衡。

GDC (Bare Metal) 叢集不支援 MCG，因此不受影響。

該怎麼辦？

您無需採取任何動作。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-46800

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 12 月 12 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.28.15-gke.1342000
• 1.29.10-gke.1280000
• 1.30.6-gke.1596000
• 1.31.3-gke.1023000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.1576000
• 1.28.14-gke.1217000
• 1.29.9-gke.1496000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-46800

該怎麼辦？

2025 年 1 月 22 日更新：下列版本的 GDC (VMware) 已更新程式碼，修正這個安全漏洞。 將 GDC (VMware) 叢集升級至下列版本或更新版本：

• 1.29.900-gke.181
• 1.31.0-gke.889
• 1.30.400-gke.133

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-46800

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-46800

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-46800

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

Kubernetes 叢集中發現的安全問題可能會導致使用 gitRepo 磁碟區執行遠端程式碼。如果 Git 存放區遭到惡意建構，有權建立 Pod 並關聯 gitRepo 磁碟區的使用者，就能在容器邊界外執行任意指令。

該怎麼辦？

將 GKE 叢集和節點集區升級至修補版本。下列 GKE 版本已更新，可修正這項安全漏洞：

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

為確保安全，即使已啟用節點自動升級功能，我們仍建議您手動升級叢集和節點集區，將 GKE 版本更新至修補版本。透過 GKE 發布版本，您不必取消訂閱或變更發布版本，即可套用修補程式。這樣一來，新版本在所選發布管道中成為預設版本前，您就能保護叢集和節點。

這個修補程式修正了哪些安全漏洞？

CVE-2024-10220 允許攻擊者建立 Pod 並關聯 gitRepo 磁碟區，在容器邊界外執行任意指令。

Kubernetes 叢集中發現的安全問題可能會導致使用 gitRepo 磁碟區執行遠端程式碼。如果 Git 存放區遭到惡意建構，有權建立 Pod 並關聯 gitRepo 磁碟區的使用者，就能在容器邊界外執行任意指令。

該怎麼辦？

Kubernetes 叢集中發現的安全問題可能會導致使用 gitRepo 磁碟區執行遠端程式碼。如果 Git 存放區遭到惡意建構，有權建立 Pod 並關聯 gitRepo 磁碟區的使用者，就能在容器邊界外執行任意指令。

該怎麼辦？

Kubernetes 叢集中發現的安全問題可能會導致使用 gitRepo 磁碟區執行遠端程式碼。如果 Git 存放區遭到惡意建構，有權建立 Pod 並關聯 gitRepo 磁碟區的使用者，就能在容器邊界外執行任意指令。

該怎麼辦？

Kubernetes 叢集中發現的安全問題可能會導致使用 gitRepo 磁碟區執行遠端程式碼。如果 Git 存放區遭到惡意建構，有權建立 Pod 並關聯 gitRepo 磁碟區的使用者，就能在容器邊界外執行任意指令。

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-45016

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 11 月 19 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.16-gke.1784000
• 1.28.15-gke.1080000
• 1.29.10-gke.1155000
• 1.30.6-gke.1059000
• 1.31.2-gke.1354000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.1478000
• 1.28.14-gke.1099000
• 1.29.9-gke.1177000
• 1.30.5-gke.1145000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-45016

該怎麼辦？

2024 年 10 月 15 日更新：下列版本的 GDC (VMware) 已更新程式碼，修正這個安全漏洞。將 GDC (VMware) 叢集升級至下列版本或更新版本：

• 1.30.100-gke.96
• 1.29.600-gke.109
• 1.28.1000-gke.59

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-45016

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-45016

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-45016

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

在某些 Linux 發行版使用的 CUPS 列印系統中，發現可能導致遠端程式碼執行的漏洞鏈 (CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)。如果 CUPS 服務監聽 UDP 連接埠 631，且攻擊者可以連線至該服務，就能利用這個漏洞。

GKE 不會使用 CUPS 列印系統，因此不受影響。

該怎麼辦？

您不必採取任何動作

在某些 Linux 發行版使用的 CUPS 列印系統中，發現可能導致遠端程式碼執行的漏洞鏈 (CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)。如果 CUPS 服務監聽 UDP 連接埠 631，且攻擊者可以連線至該連接埠，就能利用這個漏洞。

VMware 適用的 GDC 軟體不會使用 CUPS 列印系統，因此不受影響。

該怎麼辦？

您不必採取任何動作

在某些 Linux 發行版使用的 CUPS 列印系統中，發現一連串可能導致遠端程式碼執行的安全漏洞 (CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)。如果 CUPS 服務監聽 UDP 連接埠 631，且攻擊者可以連線至該連接埠，就能利用這個漏洞。

GKE on AWS 不會使用 CUPS 列印系統，因此不受影響。

該怎麼辦？

您不必採取任何動作

在某些 Linux 發行版使用的 CUPS 列印系統中，發現一連串可能導致遠端程式碼執行的安全漏洞 (CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)。如果 CUPS 服務監聽 UDP 連接埠 631，且攻擊者可以連線至該連接埠，就能利用這個漏洞。

GKE on Azure 不會使用 CUPS 列印系統，因此不受影響。

該怎麼辦？

您不必採取任何動作

在某些 Linux 發行版使用的 CUPS 列印系統中，發現一連串可能導致遠端程式碼執行的安全漏洞 (CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)。如果 CUPS 服務監聽 UDP 連接埠 631，且攻擊者可以連線至該連接埠，就能利用這個漏洞。

裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

該怎麼辦？

您不必採取任何動作

我們在 Kubernetes 叢集中發現安全問題，如果叢集含有 Windows 節點，BUILTIN\Users可能可以讀取容器記錄，AUTHORITY\Authenticated使用者可能可以修改容器記錄。

凡是含有 Windows 節點的 Kubernetes 環境都會受到影響。執行 kubectl get nodes -l kubernetes.io/os=windows，查看是否有任何 Windows 節點正在使用中。

受影響的 GKE 版本

• 1.27.15 以下版本
• 1.28.11 以下版本
• 1.29.6 以下版本
• 1.30.2 以下版本

該怎麼辦？

下列 GKE 版本已更新，可修正這個安全漏洞。為確保安全，即使已啟用節點自動升級功能，我們仍建議您手動升級叢集和節點集區至下列 GKE 版本或更新版本：

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000

如果叢集在自己的發布版本中執行相同的子版本，您就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

這個修補程式修正了哪些安全漏洞？

CVE-2024-5321

我們發現 Kubernetes 叢集 (含 Windows 節點) 有安全問題，BUILTIN\Users可能可以讀取容器記錄，AUTHORITY\Authenticated使用者可能可以修改容器記錄。

凡是含有 Windows 節點的 Kubernetes 環境都會受到影響。執行 kubectl get nodes -l kubernetes.io/os=windows，查看是否有任何 Windows 節點正在使用中。

該怎麼辦？

適用於 VMware 的 GDC 軟體修補程式版本正在開發中。我們會在相關資訊發布後更新這份公告。

這個修補程式修正了哪些安全漏洞？

CVE-2024-5321

我們發現 Kubernetes 叢集 (含 Windows 節點) 有安全問題，BUILTIN\Users可能可以讀取容器記錄，AUTHORITY\Authenticated使用者可能可以修改容器記錄。

GKE on AWS 叢集不支援 Windows 節點，因此不受影響。

該怎麼辦？

您不必採取任何動作

我們發現 Kubernetes 叢集 (含 Windows 節點) 有安全問題，BUILTIN\Users可能可以讀取容器記錄，AUTHORITY\Authenticated使用者可能可以修改容器記錄。

Azure 上的 GKE 叢集不支援 Windows 節點，因此不受影響。

該怎麼辦？

您不必採取任何動作

我們發現 Kubernetes 叢集 (含 Windows 節點) 有安全問題，BUILTIN\Users可能可以讀取容器記錄，AUTHORITY\Authenticated使用者可能可以修改容器記錄。

裸機叢集的 GDC 軟體不支援 Windows 節點，因此不受影響。

該怎麼辦？

您不必採取任何動作

Windows 中發現新的遠端程式碼執行安全漏洞 (CVE-2024-38063)。 攻擊者可將特製的 IPv6 封包傳送至主機，從遠端利用這個漏洞。

該怎麼辦？

GKE 不支援 Windows 上的 IPv6，因此不受這項 CVE 影響。您無須採取任何行動。

Windows 中發現新的遠端程式碼執行安全漏洞 (CVE-2024-38063)。 攻擊者可以傳送特製的 IPv6 封包給主機，從遠端利用這個漏洞。

該怎麼辦？

VMware 適用的 GDC 軟體不支援 Windows 上的 IPv6，因此不受這個 CVE 影響。您無須採取任何行動。

Windows 中發現新的遠端程式碼執行安全漏洞 (CVE-2024-38063)。 攻擊者可以傳送特製的 IPv6 封包給主機，從遠端利用這個漏洞。

該怎麼辦？

GKE on AWS 不受這項 CVE 影響。您無須採取任何行動。

Windows 中發現新的遠端程式碼執行安全漏洞 (CVE-2024-38063)。 攻擊者可以傳送特製的 IPv6 封包給主機，從遠端利用這個漏洞。

該怎麼辦？

Azure 上的 GKE 不受這項 CVE 影響。您無須採取任何行動。

Windows 中發現新的遠端程式碼執行安全漏洞 (CVE-2024-38063)。 攻擊者可以傳送特製的 IPv6 封包給主機，從遠端利用這個漏洞。

該怎麼辦？

GDC (裸機) 不會受到這項 CVE 影響。您無須採取任何行動。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36978

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 11 月 1 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36978

該怎麼辦？

2024 年 10 月 21 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.28.1100-gke.91
• 1.30.200-gke.101
• 1.29.600-gke.109

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36978

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36978

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36978

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-41009

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 10 月 30 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-41009

該怎麼辦？

2024 年 10 月 25 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.29.700-gke.110
• 1.28.1100-gke.91
• 1.30.200-gke.101

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-41009

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-41009

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-41009

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-39503

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 10 月 30 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-39503

該怎麼辦？

2024 年 10 月 21 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-39503

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-39503

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-39503

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26925

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 8 月 21 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26925

該怎麼辦？

2024 年 9 月 19 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.29.400
• 1.28.900

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26925

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26925

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26925

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36972

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 10 月 30 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.16-gke.1576000
• 1.28.14-gke.1175000
• 1.29.9-gke.1341000
• 1.30.5-gke.1355000
• 1.31.1-gke.1678000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

如果叢集在自己的發布版本中執行相同的子版本，您就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36972

該怎麼辦？

2024 年 10 月 21 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.30.200-gke.101
• 1.29.600-gke.109
• 1.28.1100-gke.91

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36972

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36972

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-36972

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26921

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 10 月 2 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.16-gke.1287000
• 1.28.13-gke.1042000
• 1.29.8-gke.1096000
• 1.30.4-gke.1476000
• 1.30.4-gke.1476000
• 1.31.0-gke.1577000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

如果叢集在自己的發布版本中執行相同的子版本，您就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26921

該怎麼辦？

2024 年 9 月 20 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.30.200
• 1.29.500
• 1.28.1000

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26921

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26921

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26921

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

2024 年 7 月 18 日更新： 本公告的原始版本誤稱 Autopilot 叢集受到影響。預設設定的 Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN 功能，叢集可能會受到影響。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26809

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

下列子版本會受到影響。 升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26809

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26809

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26809

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26809

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52654
• CVE-2023-52656

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 7 月 19 日更新： 下列 GKE 版本包含修正 Ubuntu 上這個安全漏洞的程式碼。升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52654
• CVE-2023-52656

該怎麼辦？

2024 年 9 月 16 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.29.200
• 1.28.700
• 1.16.11

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52654
• CVE-2023-52656

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52654
• CVE-2023-52656

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52654
• CVE-2023-52656

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

2024 年 7 月 3 日更新： 我們正在加快推出速度，預計在 2024 年 7 月 3 日下午 5 點 (美國和加拿大太平洋夏令時間，即 UTC-7) 前，所有區域都能使用新修補程式版本。如要針對特定叢集，在修補程式發布後立即收到通知，請使用叢集通知。

2024 年 7 月 2 日更新： 這項安全漏洞會影響 Autopilot 模式和 Standard 模式叢集。以下各節會說明該節適用的模式。

最近在 OpenSSH 中發現遠端程式碼執行安全漏洞 CVE-2024-6387。這項安全漏洞會利用競爭條件取得遠端殼層的存取權，讓攻擊者取得 GKE 節點的 Root 存取權。發布時，我們認為利用這項弱點相當困難，且每部受攻擊的機器都需要數小時。我們並未發現任何利用此漏洞的嘗試。

GKE 上所有支援的 Container Optimized OS 和 Ubuntu 映像檔版本，執行的 OpenSSH 版本都容易受到這個問題影響。

如果 GKE 叢集具有公開節點 IP 位址，且 SSH 連線公開至網際網路，應優先採取緩解措施。

GKE 控制層不會受到這個問題影響。

該怎麼辦？

2024 年 7 月 3 日更新：GKE 的修補程式版本

我們正在加快推出新修補程式版本的速度，預計在 2024 年 7 月 3 日下午 5 點 (美國和加拿大太平洋日光時間，UTC-7) 前，所有區域都能使用新版本。

啟用自動升級功能的叢集和節點會在當週開始升級，但由於這個安全漏洞較為嚴重，建議您按照下列步驟手動升級，盡快取得修補程式。

無論是 Autopilot 或 Standard 叢集，請升級控制層至修補版本。此外，如果是 Standard 模式叢集，請將節點集區升級至修補版本。Autopilot 叢集會盡快開始升級節點，與控制層版本保持一致。

每個支援版本都有修補程式 GKE 版本，可盡量減少套用修補程式所需的變更。每個新版本的版本編號，都是在對應現有版本的版本編號最後一位數字上遞增。 舉例來說，如果目前使用的是 1.27.14-gke.1100000，您會升級至 1.27.14-gke.1100002，以盡可能小的變更取得修正程式。以下是可用的 GKE 修補版本：

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

如要檢查叢集區域或地區是否有修補程式，請執行下列指令：

gcloud container get-server-config --location=LOCATION

將 LOCATION 替換為您的區域。

2024 年 7 月 2 日更新： 修補程式版本發布後，請盡快升級 Autopilot 模式和 Standard 模式叢集。

我們將盡快提供包含更新版 OpenSSH 的 GKE 修補版本。我們會在修補程式發布後更新這則公告。 如要在管道有修補程式時收到 Pub/Sub 通知，請啟用叢集通知。建議您完成下列步驟，檢查叢集的曝險程度，並視需要套用所述的緩解措施。

判斷節點是否具有公開 IP 位址

2024 年 7 月 2 日更新： 本節適用於 Autopilot 和 Standard 叢集。

如果叢集是使用 enable-private-nodes 建立，節點就會是私有節點，可避免曝露在網際網路上，進而降低安全漏洞風險。執行下列指令，判斷叢集是否已啟用私人節點：

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

如果傳回值為 True，表示這個叢集的所有節點都是私有節點，因此可降低安全漏洞風險。如果值為空白或 false，請繼續套用下列章節中的其中一項緩解措施。

如要找出所有最初使用公開節點建立的叢集，請在專案或機構中使用這項 Cloud Asset Inventory 查詢：

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

禁止透過 SSH 連線至叢集節點

2024 年 7 月 2 日更新： 本節適用於 Autopilot 和 Standard 叢集。

預設網路會預先填入 default-allow-ssh 防火牆規則，允許從公用網際網路進行 SSH 存取。如要移除這項存取權，請按照下列步驟操作：

• 視需要建立規則，允許從信任的網路透過 SSH 存取專案中的 GKE 節點或其他 Compute Engine VM。
• 使用下列指令停用預設防火牆規則：
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

如果您已建立任何其他防火牆規則，可能會允許透過通訊埠 22 上的 TCP 進行 SSH 連線，請停用這些規則，或將來源 IP 限制為信任的網路。

確認您無法再從網際網路透過 SSH 連線至叢集節點。這項防火牆設定可降低安全漏洞風險。

將公開節點集區轉換為私有節點集區

2024 年 7 月 2 日更新： 對於原本建立為公用叢集的 Autopilot 叢集，您可以使用 nodeSelectors，將工作負載放在私有節點上。不過，如果叢集原本是公開叢集，在該叢集上執行系統工作負載的 Autopilot 節點仍會是公開節點，因此應使用上一節所述的防火牆變更來保護。

為盡可能保護原本使用公開節點建立的叢集，建議您先透過防火牆禁止 SSH，如前所述。如果無法透過防火牆規則禁止 SSH，您可以按照這項指南隔離節點集區，將 GKE Standard 叢集上的公開節點集區轉換為私人節點集區。

變更 SSHD 設定

2024 年 7 月 2 日更新： 本節僅適用於標準叢集。Autopilot 工作負載無法修改節點設定。

如果無法套用上述任何緩解措施，我們也發布了 DaemonSet，可將 SSHD LoginGraceTime 設為零，並重新啟動 SSH Daemon。這個 DaemonSet 可套用至叢集，以減輕攻擊影響。請注意，這項設定可能會增加阻斷服務攻擊的風險，並導致合法的 SSH 存取發生問題。套用修補程式後，應移除這個 DaemonSet。

2024 年 7 月 11 日更新： 下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將管理員工作站、管理員叢集和使用者叢集 (包括節點集區) 升級至下列其中一個版本或更新版本。如需操作說明，請參閱「升級叢集或節點集區」。

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

2024 年 7 月 2 日更新的這份公告誤稱，GDC 軟體 for VMware 上的所有支援版本 Ubuntu 映像檔，執行的 OpenSSH 版本都會受到這個問題影響。VMware 1.16 版叢集的 GDC 軟體 Ubuntu 映像檔，執行的 OpenSSH 版本不會受到這個問題影響。VMware 1.28 和 1.29 版 GDC 軟體中的 Ubuntu 映像檔有安全漏洞。在所有支援的 VMware 版 GDC 軟體中，Container-Optimized OS 映像檔都會受到這個問題影響。

2024 年 7 月 2 日更新： GDC software for VMware 支援的所有 Container-Optimized OS 和 Ubuntu 映像檔版本，執行的 OpenSSH 版本都會受到這個問題影響。

如果 VMware 叢集的節點 IP 位址公開，且 SSH 連線暴露於網際網路，請優先處理這類 GDC 軟體。

最近在 OpenSSH 中發現遠端程式碼執行安全漏洞 CVE-2024-6387。這項安全漏洞會利用競爭條件取得遠端殼層的存取權，讓攻擊者取得 GKE 節點的 Root 存取權。發布時，我們認為利用這項弱點相當困難，且每部受攻擊的機器都需要數小時。我們目前未發現任何利用此漏洞的攻擊。

該怎麼辦？

2024 年 7 月 2 日更新： 我們將盡快提供 VMware 版本的 GDC 軟體修補程式，其中包含更新的 OpenSSH。修補程式發布後，這則公告也會隨之更新。建議您視需要採取下列緩解措施。

禁止透過 SSH 連線至叢集節點

您可以變更基礎架構網路設定，禁止來自不受信任來源 (例如公開網際網路) 的 SSH 連線。

變更 sshd 設定

如果無法套用上述緩解措施，我們已發布 DaemonSet，可將 sshd LoginGraceTime 設為零，並重新啟動 SSH Daemon。這個 DaemonSet 可套用至叢集，以減輕攻擊影響。請注意，這項設定可能會增加阻斷服務攻擊的風險，並導致合法的 SSH 存取發生問題。套用修補程式後，請移除這個 DaemonSet。

2024 年 7 月 11 日更新： 下列 GKE on AWS 版本已更新程式碼，修正這個安全漏洞：

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

將 GKE on AWS 控制層和節點集區升級至上述修補版本或更新版本。如需操作說明，請參閱「升級 AWS 叢集版本」和「更新節點集區」。

2024 年 7 月 2 日更新： GKE on AWS 支援的所有 Ubuntu 映像檔版本，執行的 OpenSSH 版本都容易受到這個問題影響。

如果 GKE on AWS 叢集具有公開節點 IP 位址，且 SSH 連線公開至網際網路，則應優先採取緩解措施。

最近在 OpenSSH 中發現遠端程式碼執行安全漏洞 CVE-2024-6387。這項安全漏洞會利用競爭條件取得遠端殼層的存取權，讓攻擊者取得 GKE 節點的 Root 存取權。發布時，我們認為利用這項弱點相當困難，且每部受攻擊的機器都需要數小時。我們並未發現任何利用此漏洞的嘗試。

該怎麼辦？

2024 年 7 月 2 日更新： 我們將盡快推出修補完成的 GKE on AWS 版本，其中包含更新的 OpenSSH。修補程式發布後，這則公告也會隨之更新。建議您按照下列步驟檢查叢集的曝光情形，並視需要套用所述的緩解措施。

判斷節點是否具有公開 IP 位址

根據預設，GKE on AWS 不會佈建任何具有公開 IP 位址的機器，也不會佈建允許流量進入通訊埠 22 的防火牆規則。不過，視子網路設定而定，機器在佈建期間可能會自動取得公開 IP 位址。

如要檢查節點是否已佈建公開 IP 位址，請查看與 AWS 節點集區資源相關聯的子網路設定。

禁止透過 SSH 連線至叢集節點

雖然根據預設，GKE on AWS 不允許任何節點使用通訊埠 22 的流量，但客戶可以將其他安全群組附加至節點集區，啟用連入的 SSH 流量。

建議您移除或縮減所提供安全群組的相應規則。

將公開節點集區轉換為私有節點集區

為盡可能保護含有公開節點的叢集，建議您先透過安全群組禁止 SSH，如上一節所述。如果無法透過安全群組規則禁止 SSH，可以停用自動將公開 IP 指派給子網路內機器的選項，然後重新佈建節點集區，將公開節點集區轉換為私有節點集區。

2024 年 7 月 11 日更新： 下列 Azure 上的 GKE 版本已更新程式碼，修正這個安全漏洞：

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

將 GKE on Azure 控制層和節點集區升級至上述修補版本或更新版本。如需操作說明，請參閱「升級 Azure 叢集版本」和「更新節點集區」。

2024 年 7 月 2 日更新： GKE on Azure 支援的所有 Ubuntu 映像檔版本，執行的 OpenSSH 版本都容易受到這個問題影響。

如果 Azure 上的 GKE 叢集具有公開節點 IP 位址，且 SSH 連線對外公開，應優先採取緩解措施。

最近在 OpenSSH 中發現遠端程式碼執行安全漏洞 CVE-2024-6387。這項安全漏洞會利用競爭條件取得遠端殼層的存取權，讓攻擊者取得 GKE 節點的 Root 存取權。發布時，我們認為利用這項弱點相當困難，且每部受攻擊的機器都需要數小時。我們並未發現任何利用此漏洞的嘗試。

該怎麼辦？

2024 年 7 月 2 日更新： 我們將盡快提供 GKE on Azure 修補版本，其中包含更新的 OpenSSH。修補程式發布後，這則公告也會隨之更新。建議您按照下列步驟檢查叢集的曝光情形，並視需要套用所述的緩解措施。

判斷節點是否具有公開 IP 位址

GKE on Azure 不會佈建任何具有公開 IP 位址的機器，也不會佈建允許流量預設傳輸至通訊埠 22 的防火牆規則。如要檢查 Azure 設定，確認 GKE on Azure 叢集是否已設定任何公開 IP 位址，請執行下列指令：

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

禁止透過 SSH 連線至叢集節點

雖然根據預設，Azure 上的 GKE 不允許任何節點透過通訊埠 22 傳輸流量，但客戶可以更新節點集區的 NetworkSecurityGroup 規則，從公開網際網路啟用傳入的 SSH 流量。

強烈建議您檢查與 Kubernetes 叢集相關聯的網路安全群組 (NSG)。如果現有 NSG 規則允許通訊埠 22 (SSH) 上的傳入流量不受限制，請執行下列其中一項操作：

• 完全移除規則：如果不需要從網際網路存取叢集節點的 SSH，請移除規則，以消除潛在的攻擊媒介。
• 縮小規則範圍：將通訊埠 22 的連入存取權限制為僅允許特定 IP 位址或範圍存取。這樣做可將潛在攻擊的受攻擊面降到最低。

將公開節點集區轉換為私有節點集區

為盡可能保護含有公開節點的叢集，建議您先透過安全群組禁止 SSH，如上一節所述。如果無法透過安全群組規則禁止 SSH，您可以移除與 VM 相關聯的公開 IP 位址，將公開節點集區轉換為私人節點集區。

如要從 VM 移除公開 IP 位址，並改用私人 IP 位址設定，請參閱「將公開 IP 位址與 Azure VM 取消關聯」。

影響： 使用公開 IP 位址的現有連線將會中斷。請確保您已備妥替代存取方法，例如 VPN 或 Azure Bastion。

2024 年 7 月 2 日更新： 這份公告的原始版本誤稱裸機適用的 GDC 軟體正在進行修補程式版本。Bare Metal 專用的 GDC 軟體不會直接受到影響，因為這類軟體不會管理作業系統 SSH Daemon 或設定。因此，如「我該怎麼做？」一節所述，修補程式版本由作業系統供應商負責。

最近在 OpenSSH 中發現遠端程式碼執行安全漏洞 CVE-2024-6387。這項安全漏洞會利用競爭條件取得遠端殼層的存取權，讓攻擊者取得 GKE 節點的 Root 存取權。發布時，我們認為利用這項弱點相當困難，且每部受攻擊的機器都需要數小時。我們並未發現任何利用此漏洞的嘗試。

該怎麼辦？

2024 年 7 月 2 日更新： 請與作業系統供應商聯絡，取得與裸機適用的 GDC 軟體搭配使用的作業系統修補程式。

在套用 OS 供應商修補程式前，請確保可從網際網路連線的機器不允許來自網際網路的 SSH 連線。如果無法這麼做，可以將 LoginGraceTime 設為零，然後重新啟動 sshd 伺服器：

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

請注意，這項設定變更可能會增加阻斷服務攻擊的風險，並導致正常的 SSH 存取發生問題。

2024 年 7 月 1 日的原始文字 (如需修正內容，請參閱前述 2024 年 7 月 2 日的更新)：

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26923

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 8 月 20 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26923

該怎麼辦？

2024 年 9 月 25 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.29.400
• 1.28.900

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26923

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26923

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26923

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26924

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 8 月 6 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

下列 GKE 版本已更新程式碼，可修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26924

該怎麼辦？

2024 年 9 月 17 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.29.400
• 1.28.800
• 1.16.11

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26924

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26924

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26924

該怎麼辦？

您無須採取任何行動。裸機適用的 GDC 軟體不受影響，因為其發布內容不含作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26584

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26584

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26584

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26584

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26584

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26584

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 7 月 18 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

下列 GKE 版本已更新程式碼，可修正 Container-Optimized OS 的這個安全漏洞。升級 Container-Optimized OS 節點集區至下列修補程式版本或更新版本：

• 1.27.15-gke.1125000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

下列次要版本會受到影響，但沒有可用的修補程式版本。我們會在修補程式版本發布後更新此公告：

• 1.26
• 1.27

如果叢集在自己的發布版本中執行相同的子版本，您就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26584

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26584

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26584

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26584

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26583

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 7 月 10 日更新： 下列 GKE 版本已更新程式碼，修正這個安全漏洞。將 Ubuntu 節點集區升級至下列任一修補程式版本或更新版本：

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

如果是次要版本 1.26 和 1.27，請將 Container-Optimized OS 節點集區升級至下列修補程式版本或更新版本：

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26583

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26583

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26583

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2024-26583

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2022-23222

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2022-23222

該怎麼辦？

2024 年 9 月 26 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.28.900-gke.113
• 1.29.400-gke.8

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2022-23222

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2022-23222

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 節點上的權限升級：

• CVE-2022-23222

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

Fluent Bit 最近發現一個新安全漏洞 (CVE-2024-4323)，可能導致遠端程式碼執行。Fluent Bit 2.0.7 至 3.0.3 版都會受到影響。

GKE 並未使用有安全漏洞的 Fluent Bit 版本，因此不受影響。

該怎麼辦？

GKE 不受這個安全漏洞影響。 您無須採取任何行動。

Fluent Bit 最近發現一個新安全漏洞 (CVE-2024-4323)，可能導致遠端程式碼執行。Fluent Bit 2.0.7 至 3.0.3 版都會受到影響。

GKE on VMware 並未使用有安全漏洞的 Fluent Bit 版本，因此不受影響。

該怎麼辦？

GKE on VMware 不受這個安全漏洞影響。 您無須採取任何行動。

Fluent Bit 最近發現一個新安全漏洞 (CVE-2024-4323)，可能導致遠端程式碼執行。Fluent Bit 2.0.7 至 3.0.3 版都會受到影響。

GKE on AWS 並未使用有安全漏洞的 Fluent Bit 版本，因此不受影響。

該怎麼辦？

GKE on AWS 不受這個安全漏洞影響。 您無須採取任何行動。

Fluent Bit 最近發現一個新安全漏洞 (CVE-2024-4323)，可能導致遠端程式碼執行。Fluent Bit 2.0.7 至 3.0.3 版都會受到影響。

Azure 上的 GKE 並未使用有安全漏洞的 Fluent Bit 版本，因此不受影響。

該怎麼辦？

Azure 上的 GKE 不受這個安全漏洞影響。 您無須採取任何行動。

Fluent Bit 最近發現一個新安全漏洞 (CVE-2024-4323)，可能導致遠端程式碼執行。Fluent Bit 2.0.7 至 3.0.3 版都會受到影響。

GKE on Bare Metal 不會使用有安全漏洞的 Fluent Bit 版本，因此不受影響。

該怎麼辦？

Bare Metal 中的 GKE 不受這個安全漏洞影響。 您無須採取任何行動。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52620

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 7 月 18 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52620

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52620

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52620

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-52620

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26642

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 8 月 19 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26642

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26642

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26642

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26642

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26581

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 5 月 22 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

下列子版本會受到影響。 升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26581

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26581

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26581

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26581

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26808

2024-05-09 更新：已將嚴重程度從「中」修正為「高」。 原先的公告指出 Autopilot 叢集會受到影響，但這是錯誤的資訊。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 5 月 15 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26808

該怎麼辦？

2024 年 9 月 25 日更新：下列 VMware 適用的 GDC 軟體版本已更新程式碼，可修正這個安全漏洞。將 VMware 叢集的 GDC 軟體升級至下列版本或更新版本：

• 1.28.600
• 1.16.9

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26808

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26808

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26808

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

2024 年 5 月 9 日更新：將嚴重程度從「中」修正為「高」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26643

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 8 月 6 日更新：新增 GKE 上 Ubuntu 節點集區的修補程式版本。

下列 GKE 版本已更新程式碼，可修正 Ubuntu 上的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本：

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26643

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26643

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26643

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26643

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26585

GKE Standard 和 Autopilot 叢集都會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 7 月 18 日更新： 下列 GKE 版本已更新程式碼，修正 Ubuntu 上的這個安全漏洞。升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26585

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26585

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26585

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-26585

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

最近在多個 HTTP/2 通訊協定實作中發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-45288)，包括 Kubernetes 使用的 golang HTTP 伺服器。這個安全漏洞可能會導致 Google Kubernetes Engine (GKE) 控制層發生 DoS 攻擊。設定授權網路的 GKE 叢集會受到保護，網路存取權會受到限制，但其他所有叢集都會受到影響。

GKE Autopilot 和 Standard 叢集都會受到影響。

該怎麼辦？

2024 年 4 月 24 日更新：新增 GKE 的修補程式版本。

下列 GKE 版本包含 Golang 安全性修補程式，可修正這個安全漏洞。將 GKE 叢集升級至下列版本或更新版本：

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

golang 專案已於 2024 年 4 月 3 日發布修補程式。我們會在含有這些修補程式的 GKE 版本發布後，更新這項公告。如要要求加快修補程式的發布速度，請與支援團隊聯絡。

如要減輕影響，請設定控制層存取權的授權網路：

您可以設定授權網路，防範這類攻擊。按照指示為現有叢集啟用授權網路。

如要進一步瞭解授權網路如何控管控制層的存取權，請參閱「授權網路的運作方式」。如要查看預設授權網路存取權，請查看「存取控制層端點」部分中的表格。

這個修補程式修正了哪些安全漏洞？

攻擊者可利用這項安全漏洞 (CVE-2023-45288)，對 Kubernetes 控制層發動阻斷服務攻擊。

最近在多個 HTTP/2 通訊協定實作中發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-45288)，包括 Kubernetes 使用的 golang HTTP 伺服器。這個安全漏洞可能會導致 Google Kubernetes Engine (GKE) 控制層發生 DoS 攻擊。

該怎麼辦？

2024 年 7 月 17 日更新：新增 GKE on VMware 的修補程式版本。

下列版本的 GKE on VMware 包含修正此安全漏洞的程式碼。將 GKE on VMware 叢集升級至下列版本或更新版本：

• 1.29.0
• 1.28.500
• 1.16.8

golang 專案已於 2024 年 4 月 3 日發布修補程式。我們會在含有這些修補程式的 GKE on VMware 版本發布後，更新這項公告。如要要求加快修補程式的發布速度，請與支援團隊聯絡。

這個修補程式修正了哪些安全漏洞？

攻擊者可利用這項安全漏洞 (CVE-2023-45288)，對 Kubernetes 控制層發動阻斷服務攻擊。

最近在多個 HTTP/2 通訊協定實作中發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-45288)，包括 Kubernetes 使用的 golang HTTP 伺服器。這個安全漏洞可能會導致 Google Kubernetes Engine (GKE) 控制層發生 DoS 攻擊。

該怎麼辦？

golang 專案已於 2024 年 4 月 3 日發布修補程式。我們會在含有這些修補程式的 GKE on AWS 版本發布後，更新這份公告。如要要求加快修補程式的發布速度，請與支援團隊聯絡。

這個修補程式修正了哪些安全漏洞？

攻擊者可利用這項安全漏洞 (CVE-2023-45288)，對 Kubernetes 控制層發動阻斷服務攻擊。

最近在多個 HTTP/2 通訊協定實作中發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-45288)，包括 Kubernetes 使用的 golang HTTP 伺服器。這個安全漏洞可能會導致 Google Kubernetes Engine (GKE) 控制層發生 DoS 攻擊。

該怎麼辦？

golang 專案已於 2024 年 4 月 3 日發布修補程式。我們會在含有這些修補程式的 Azure 版 GKE 版本發布後，更新這項公告。如要要求加快修補程式的發布速度，請與支援團隊聯絡。

這個修補程式修正了哪些安全漏洞？

攻擊者可利用這項安全漏洞 (CVE-2023-45288)，對 Kubernetes 控制層發動阻斷服務攻擊。

最近在多個 HTTP/2 通訊協定實作中發現阻斷服務 (DoS) 安全漏洞 (CVE-2023-45288)，包括 Kubernetes 使用的 golang HTTP 伺服器。這個安全漏洞可能會導致 Google Kubernetes Engine (GKE) 控制層發生 DoS 攻擊。

該怎麼辦？

2024 年 7 月 9 日更新：新增 GKE on Bare Metal 的修補程式版本。

下列版本的 Bare Metal 中的 GKE 包含修正此安全漏洞的程式碼。將 GKE on Bare Metal 叢集升級至下列版本或更新版本：

• 1.29.100
• 1.28.600
• 1.16.9

golang 專案已於 2024 年 4 月 3 日發布修補程式。我們會在含這些修補程式的 GKE on Bare Metal 版本發布後，更新這項公告。如要要求加快修補程式的發布速度，請與支援團隊聯絡。

這個修補程式修正了哪些安全漏洞？

攻擊者可利用這項安全漏洞 (CVE-2023-45288)，對 Kubernetes 控制層發動阻斷服務攻擊。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-1085

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

2024 年 5 月 6 日更新：下列 GKE 版本已更新程式碼，修正 Ubuntu 中的這個安全漏洞。將 Ubuntu 節點集區升級至下列版本或更新版本。

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

2024 年 4 月 4 日更新：修正 GKE Container-Optimized OS 節點集區的最低版本。

先前列出的 Container-Optimized OS 修正程式最低 GKE 版本有誤。下列 GKE 版本已更新程式碼，可修正 Container-Optimized OS 的這個安全漏洞。將 Container-Optimized OS 節點集區升級至下列版本或更新版本：

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-1085

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-1085

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-1085

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-1085

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3611

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

下列子版本會受到影響。 升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3611

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3611

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3611

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3611

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3776

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

下列子版本會受到影響。 升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3776

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3776

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3776

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3776

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3610

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.3-gke.1001002
• 1.28.0-gke.100

下列子版本會受到影響。 升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3610

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3610

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3610

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-3610

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-0193

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

下列子版本會受到影響。 升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-0193

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-0193

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-0193

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2024-0193

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-6932

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

下列子版本會受到影響。 升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-6932

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-6932

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-6932

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升：

• CVE-2023-6932

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-6931

GKE 標準叢集會受到影響。預設設定的 GKE Autopilot 叢集不會受到影響，但如果您明確設定 seccomp Unconfined 設定檔或允許 CAP_NET_ADMIN，則可能會受到影響。

使用 GKE Sandbox 的叢集不受影響。

該怎麼辦？

下列子版本會受到影響。 升級 Container-Optimized OS 節點集區，使其採用下列修補程式版本或更新版本：

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

下列子版本會受到影響。 升級 Ubuntu 節點集區至下列任一修補程式版本或更新版本：

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-6931

該怎麼辦？

2024 年 4 月 17 日更新：新增 GKE on VMware 的修補程式版本。

下列版本的 GKE on VMware 已更新程式碼，可修正這個安全漏洞。將叢集升級至下列版本或更新版本：

• 1.28.200
• 1.16.6
• 1.15.10

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-6931

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-6931

該怎麼辦？

我們在 Linux 核心中發現下列安全漏洞，這些漏洞可能會導致 Container-Optimized OS 和 Ubuntu 節點的權限遭到提升。

• CVE-2023-6931

該怎麼辦？

您無須採取任何行動。Bare Metal 中的 GKE 不會受到影響，因為其發行版本未綁定作業系統。

攻擊者可利用 CVE-2023-5528 在 Windows 節點上建立 Pod 和 PersistentVolume，進而提升這些節點的管理員權限。

執行 Windows Server 節點並使用樹內儲存空間外掛程式的 GKE Standard 叢集可能會受到影響。

使用 GKE Sandbox 的 GKE Autopilot 叢集和 GKE 節點集區不受影響，因為這些叢集和節點集區不支援 Windows Server 節點。

該怎麼辦？

判斷叢集是否正在使用 Windows Server 節點：

kubectl get nodes -l kubernetes.io/os=windows

檢查稽核記錄，找出遭到濫用的證據。您可以稽核 Kubernetes 稽核記錄，判斷是否有人利用這項安全漏洞。如果 PersistentVolume 建立事件的本機路徑欄位含有特殊字元，就很有可能是遭到攻擊。

將 GKE 叢集和節點集區更新至修補版本。下列 GKE 版本已更新，可修正這個安全漏洞。即使已啟用節點自動升級功能，我們仍建議您手動升級叢集和 Windows Server 節點集區至下列 GKE 版本或更新版本：

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

如果叢集在自己的發布版本中執行相同的子版本，就可以套用較新發布版本的修補程式版本。這項功能可讓您保護節點，直到修補程式版本成為發布管道的預設版本為止。詳情請參閱「從較新的管道執行修補程式版本」。

這個修補程式修正了哪些安全漏洞？

攻擊者可利用 CVE-2023-5528 在 Windows 節點上建立 Pod 和 PersistentVolume，進而提升這些節點的管理員權限。

攻擊者可利用 CVE-2023-5528 在 Windows 節點上建立 Pod 和 PersistentVolume，進而提升這些節點的管理員權限。

執行 Windows Server 節點並使用樹內儲存空間外掛程式的 GKE on VMware 叢集可能會受到影響。

該怎麼辦？

判斷叢集是否正在使用 Windows Server 節點：

kubectl get nodes -l kubernetes.io/os=windows

檢查稽核記錄，找出遭到濫用的證據。您可以稽核 Kubernetes 稽核記錄，判斷是否有人利用這項安全漏洞。如果 PersistentVolume 建立事件的本機路徑欄位含有特殊字元，就很有可能是遭到攻擊。

將 GKE on VMware 叢集和節點集區更新至修補版本。下列 GKE on VMware 版本已更新，可修正這個安全漏洞。即使已啟用節點自動升級功能，我們仍建議您手動升級叢集和 Windows Server 節點集區，至下列其中一個 GKE on VMware 版本或更新版本：

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41