Boletines de seguridad

Se descubrió una cadena de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 y CVE-2024-47177) que podría provocar una ejecución de código remoto en el sistema de impresión CUPS que usan algunas distribuciones de Linux. Un atacante puede aprovecharse de esta vulnerabilidad si los servicios de CUPS escuchan en el puerto UDP 631 y pueden conectarse a él.

GKE no usa el sistema de impresión CUPS y no se ve afectado.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Se descubrió una cadena de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 y CVE-2024-47177) que podría provocar una ejecución de código remoto en el sistema de impresión CUPS que usan algunas distribuciones de Linux. Un atacante puede aprovecharse de esta vulnerabilidad si los servicios de CUPS escuchan en el puerto UDP 631 y pueden conectarse a él.

El software de GDC para VMware no usa el sistema de impresión CUPS y no se ve afectado.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Se descubrió una cadena de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 y CVE-2024-47177) que podría provocar una ejecución de código remoto en el sistema de impresión CUPS que usan algunas distribuciones de Linux. Un atacante puede aprovecharse de esta vulnerabilidad si los servicios de CUPS escuchan en el puerto UDP 631 y pueden conectarse a él.

GKE en AWS no usa el sistema de impresión CUPS y no se ve afectado.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Se descubrió una cadena de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 y CVE-2024-47177) que podría provocar una ejecución de código remoto en el sistema de impresión CUPS que usan algunas distribuciones de Linux. Un atacante puede aprovecharse de esta vulnerabilidad si los servicios de CUPS escuchan en el puerto UDP 631 y pueden conectarse a él.

GKE en Azure no usa el sistema de impresión CUPS y no se ve afectado.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Se descubrió una cadena de vulnerabilidades (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 y CVE-2024-47177) que podría provocar una ejecución de código remoto en el sistema de impresión CUPS que usan algunas distribuciones de Linux. Un atacante puede aprovecharse de esta vulnerabilidad si los servicios de CUPS escuchan en el puerto UDP 631 y pueden conectarse a él.

El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Se descubrió un problema de seguridad en los clústeres de Kubernetes con nodos de Windows en el que BUILTIN\Users podría leer los registros de contenedores y los usuarios de AUTHORITY\Authenticated podrían modificarlos.

Cualquier entorno de Kubernetes con nodos de Windows se ve afectado. Ejecuta kubectl get nodes -l kubernetes.io/os=windows para ver si hay algún nodo de Windows en uso.

Versiones de GKE afectadas

• 1.27.15 y anteriores
• 1.28.11 y anteriores
• 1.29.6 y anteriores
• 1.30.2 y anteriores

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y tus grupos de nodos a una de las siguientes versiones GKE o posteriores:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

¿Qué vulnerabilidades se abordan?

CVE-2024-5321

Se descubrió un problema de seguridad en los clústeres de Kubernetes con nodos de Windows, en el que BUILTIN\Users podría leer los registros de contenedores y los usuarios de AUTHORITY\Authenticated podrían modificarlos.

Cualquier entorno de Kubernetes con nodos de Windows se ve afectado. Ejecuta kubectl get nodes -l kubernetes.io/os=windows para ver si hay algún nodo de Windows en uso.

¿Qué debo hacer?

Las versiones de parche para el software de GDC para VMware están en curso. Actualizaremos este boletín con esa información cuando esté disponible.

¿Qué vulnerabilidades se abordan?

CVE-2024-5321

Se descubrió un problema de seguridad en los clústeres de Kubernetes con nodos de Windows, en el que BUILTIN\Users podría leer los registros de contenedores y los usuarios de AUTHORITY\Authenticated podrían modificarlos.

Los clústeres de GKE en AWS no admiten nodos de Windows y no se ven afectados.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Se descubrió un problema de seguridad en los clústeres de Kubernetes con nodos de Windows, en el que BUILTIN\Users podría leer los registros de contenedores y los usuarios de AUTHORITY\Authenticated podrían modificarlos.

Los clústeres de GKE en Azure no admiten nodos de Windows y no se ven afectados.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Se descubrió un problema de seguridad en los clústeres de Kubernetes con nodos de Windows, en el que BUILTIN\Users podría leer los registros de contenedores y los usuarios de AUTHORITY\Authenticated podrían modificarlos.

El software de GDC para clústeres de Bare Metal no admite nodos de Windows y no se ve afectado.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Se descubrió una nueva vulnerabilidad de ejecución de código remoto (CVE-2024-38063) en Windows. Un atacante podría aprovechar esta vulnerabilidad de forma remota enviando paquetes IPv6 especialmente diseñados a un host.

¿Qué debo hacer?

GKE no admite IPv6 en Windows y no se ve afectado por este CVE. No es necesario que realices ninguna acción.

Se descubrió una nueva vulnerabilidad de ejecución de código remoto (CVE-2024-38063) en Windows. Un atacante podría aprovechar esta vulnerabilidad de forma remota enviando paquetes IPv6 especialmente diseñados a un host.

¿Qué debo hacer?

El software de GDC para VMware no es compatible con IPv6 en Windows y no se ve afectado por este CVE. No es necesario que realices ninguna acción.

Se descubrió una nueva vulnerabilidad de ejecución de código remoto (CVE-2024-38063) en Windows. Un atacante podría aprovechar esta vulnerabilidad de forma remota enviando paquetes IPv6 especialmente diseñados a un host.

¿Qué debo hacer?

GKE en AWS no se ve afectado por este CVE. No es necesario que realices ninguna acción.

Se descubrió una nueva vulnerabilidad de ejecución de código remoto (CVE-2024-38063) en Windows. Un atacante podría aprovechar esta vulnerabilidad de forma remota enviando paquetes IPv6 especialmente diseñados a un host.

¿Qué debo hacer?

GKE en Azure no se ve afectado por este CVE. No es necesario que realices ninguna acción.

Se descubrió una nueva vulnerabilidad de ejecución de código remoto (CVE-2024-38063) en Windows. Un atacante podría aprovechar esta vulnerabilidad de forma remota enviando paquetes IPv6 especialmente diseñados a un host.

¿Qué debo hacer?

GDC (bare metal) no se ve afectado por esta CVE. No es necesario que realices ninguna acción.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-36978

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-36978

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-36978

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-36978

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-36978

¿Qué debo hacer?

No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-41009

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.16-gke.1008000
• 1.28.12-gke.1052000
• 1.29.7-gke.1008000
• 1.30.3-gke.1225000
• 1.31.0-gke.1058000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-41009

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-41009

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-41009

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-41009

¿Qué debo hacer?

No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-39503

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.15-gke.1125000
• 1.28.11-gke.1170000
• 1.29.6-gke.1137000
• 1.30.3-gke.1225000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-39503

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-39503

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-39503

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-39503

¿Qué debo hacer?

No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26925

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/08/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a las siguientes versiones o versiones posteriores:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26925

¿Qué debo hacer?

Actualización del 19/09/2024: Las siguientes versiones del software de GDC para VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza el software de GDC para clústeres de VMware a las siguientes versiones o versiones posteriores:

• 1.29.400
• 1.28.900

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26925

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26925

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26925

¿Qué debo hacer?

No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-36972

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.14-gke.1093000
• 1.28.10-gke.1141000
• 1.29.5-gke.1192000
• 1.30.2-gke.1394000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-36972

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-36972

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-36972

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-36972

¿Qué debo hacer?

No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26921

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 02/10/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a las siguientes versiones o versiones posteriores:

• 1.27.16-gke.1287000
• 1.28.13-gke.1042000
• 1.29.8-gke.1096000
• 1.30.4-gke.1476000
• 1.30.4-gke.1476000
• 1.31.0-gke.1577000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.2-gke.1394000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26921

¿Qué debo hacer?

Actualización del 20/09/2024: Las siguientes versiones del software de GDC para VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza el software de GDC para clústeres de VMware a las siguientes versiones o versiones posteriores:

• 1.30.200
• 1.29.500
• 1.28.1000

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26921

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26921

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26921

¿Qué debo hacer?

No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

Actualización del 18/7/2024: La versión original de este boletín indicaba de forma incorrecta que los clústeres de Autopilot se vieron afectados. Los clústeres de Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil no confinado de seccomp o permites la función CAP_NET_ADMIN.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26809

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26809

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26809

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26809

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26809

¿Qué debo hacer?

No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 19/07/2024: Las siguientes versiones de GKE contienen código que corrige esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1300000
• 1.27.13-gke.1166000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

¿Qué debo hacer?

Actualización del 16/09/2024: Las siguientes versiones del software de GDC para VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza el software de GDC para clústeres de VMware a las siguientes versiones o versiones posteriores:

• 1.29.200
• 1.28.700
• 1.16.11

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-52654
• CVE-2023-52656

¿Qué debo hacer?

No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

Actualización del 3/7/2024: Se está implementando un lanzamiento acelerado y se espera que las nuevas versiones de parches estén disponibles en todas las zonas el 3 de julio de 2024 a las 5 p.m., hora del Pacífico de EE.UU. y Canadá (UTC-7). Para obtener una notificación en cuanto un parche esté disponible para tu clúster específico, usa las notificaciones de clúster.

Actualización del 02/07/2024: Esta vulnerabilidad afecta a los clústeres del modo Autopilot y del modo estándar. En cada sección que aparece a continuación, se te indicarán los modos a los que se aplica.

En la actualidad, se descubrió una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, en OpenSSH. La vulnerabilidad explota una condición de carrera que podría usarse para obtener acceso a una shell remota, lo que permitiría que los atacantes obtengan acceso raíz a nodos de GKE. En el momento de la publicación, se cree que la explotación podría ser difícil y tardar varias horas por cada máquina que está siendo atacada. No tenemos conocimiento de ningún intento de explotación.

Todas las versiones admitidas de imágenes de Container-Optimized OS y Ubuntu en GKE ejecutan versiones de OpenSSH que son vulnerables a este problema.

Los clústeres de GKE con direcciones IP de nodos públicos y SSH expuestos a Internet deben tratarse con la mayor prioridad para la mitigación.

El plano de control de GKE no es vulnerable a este problema.

¿Qué debo hacer?

Actualización del 03/07/2024: Versiones de parche para GKE

Se está implementando una versión acelerada, y se espera que las nuevas versiones de parches estén disponibles en todas las zonas el 3 de julio de 2024 a las 5 p.m., hora del Pacífico de EE.UU. y Canadá (UTC-7).

Los clústeres y los nodos con la actualización automática habilitada comenzarán a actualizarse a medida que avance la semana, pero, debido a la gravedad de la vulnerabilidad, te recomendamos que realices la actualización de forma manual de la siguiente manera para obtener los parches lo más rápido posible.

Para los clústeres de Autopilot y Standard, actualiza tu plano de control a una versión con parches. Además, en el caso de los clústeres de modo estándar, actualiza tus grupos de nodos a una versión con parche. Los clústeres de Autopilot comenzarán a actualizar tus nodos para que coincidan con la versión del plano de control lo antes posible.

Las versiones de GKE con parches están disponibles para todas las versiones compatibles para minimizar los cambios necesarios para aplicar el parche. El número de versión de cada versión nueva es un incremento en el último dígito del número de versión de una versión existente correspondiente. Por ejemplo, si tienes la versión 1.27.14-gke.1100000, actualizarás a la versión 1.27.14-gke.1100002 para obtener la corrección con el cambio más pequeño posible. Las siguientes versiones de GKE con parches están disponibles:

• 1.26.15-gke.1090004
• 1.26.15-gke.1191001
• 1.26.15-gke.1300001
• 1.26.15-gke.1320002
• 1.26.15-gke.1381001
• 1.26.15-gke.1390001
• 1.26.15-gke.1404002
• 1.26.15-gke.1469001
• 1.27.13-gke.1070002
• 1.27.13-gke.1166001
• 1.27.13-gke.1201002
• 1.27.14-gke.1022001
• 1.27.14-gke.1042001
• 1.27.14-gke.1059002
• 1.27.14-gke.1100002
• 1.27.15-gke.1012003
• 1.28.9-gke.1069002
• 1.28.9-gke.1209001
• 1.28.9-gke.1289002
• 1.28.10-gke.1058001
• 1.28.10-gke.1075001
• 1.28.10-gke.1089002
• 1.28.10-gke.1148001
• 1.28.11-gke.1019001
• 1.29.4-gke.1043004
• 1.29.5-gke.1060001
• 1.29.5-gke.1091002
• 1.29.6-gke.1038001
• 1.30.1-gke.1329003
• 1.30.2-gke.1023004

Para verificar si un parche está disponible en la zona o región de tu clúster, ejecuta el siguiente comando:

gcloud container get-server-config --location=LOCATION

Reemplaza LOCATION por tu zona o región.

Actualización del 02/07/2024: Los clústeres del modo Autopilot y del modo Standard deben actualizarse lo antes posible después de que las versiones de parches estén disponibles.

Se pondrá a disposición lo antes posible una versión parchada de GKE que incluye una versión actualizada de OpenSSH. Este boletín se actualizará cuando los parches estén disponibles. Para recibir una notificación de Pub/Sub cuando un parche esté disponible para tu canal, habilita las notificaciones de clústeres. Recomendamos seguir los siguientes pasos para verificar la exposición de tu clúster y aplicar las mitigaciones descritas, según sea necesario.

Determina si tus nodos tienen direcciones IP públicas

Actualización del 02/07/2024: Esta sección se aplica a los clústeres de Autopilot y Standard.

Si se crea un clúster con enable-private-nodes, los nodos serán privados, lo que mitiga la vulnerabilidad, ya que quita la exposición a Internet. Ejecuta el siguiente comando para determinar si tu clúster tiene habilitados los nodos privados:

gcloud container clusters describe $CLUSTER_NAME \
--format="value(privateClusterConfig.enablePrivateNodes)"

Si el valor que se muestra es verdadero, todos los nodos son privados para este clúster y se mitiga la vulnerabilidad. Si el valor está vacío o es falso, continúa con la aplicación de una de las mitigaciones que se indican en las siguientes secciones.

Para encontrar todos los clústeres creados originalmente con nodos públicos, usa esta búsqueda de Cloud Asset Inventory en el proyecto o la organización:

SELECT
  resource.data.name AS cluster_name,
  resource.parent AS project_name,
  resource.data.privateClusterConfig.enablePrivateNodes
FROM
  `container_googleapis_com_Cluster`
WHERE
  resource.data.privateClusterConfig.enablePrivateNodes is null OR
  resource.data.privateClusterConfig.enablePrivateNodes = false

Inhabilita SSH en los nodos del clúster

Actualización del 02/07/2024: Esta sección se aplica a los clústeres de Autopilot y Standard.

La red predeterminada se prepropaga con una regla de firewall default-allow-ssh para permitir el acceso SSH desde la Internet pública. Para quitar este acceso, puedes hacer lo siguiente:

• De manera opcional, crea reglas para permitir cualquier acceso SSH que necesites desde redes de confianza a los nodos de GKE o a otras VMs de Compute Engine en el proyecto.
• Inhabilita la regla de firewall predeterminada con el siguiente comando:
  gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT

Si creaste alguna otra regla de firewall que pueda permitir SSH a través de TCP en el puerto 22, inhabilita las reglas o limita las IP de origen a redes de confianza.

Verifica que ya no puedas establecer una conexión SSH a los nodos del clúster desde Internet. Esta configuración de firewall mitiga la vulnerabilidad.

Convierte grupos de nodos públicos en privados

Actualización del 02/07/2024: En el caso de los clústeres de Autopilot creados originalmente como clústeres públicos, puedes colocar tus cargas de trabajo en nodos privados mediante nodeSelectors. Sin embargo, los nodos de Autopilot que ejecutan cargas de trabajo del sistema en clústeres que se crearon originalmente como clústeres públicos seguirán siendo nodos públicos y se deben proteger con los cambios de firewall que se describieron en la sección anterior.

Para proteger mejor los clústeres creados originalmente con nodos públicos, te recomendamos que primero no permitas SSH a través del firewall, como ya se describió. Si no puedes inhabilitar SSH a través de las reglas de firewall, puedes convertir los grupos de nodos públicos en clústeres de GKE Standard en privados. Para ello, sigue esta guía para aislar grupos de nodos.

Cambia la configuración de SSHD

Actualización del 02/07/2024: Esta sección solo se aplica a los clústeres estándar. Las cargas de trabajo de Autopilot no pueden modificar la configuración del nodo.

Si no se puede aplicar ninguna de estas mitigaciones, también publicamos un daemonset que establece SSHD LoginGraceTime en cero y reinicia el daemon de SSH. Este conjunto de demonios se puede aplicar al clúster para mitigar el ataque. Ten en cuenta que esta configuración puede aumentar el riesgo de ataques de denegación del servicio y causar problemas con el acceso legítimo a SSH. Este daemonset se debe quitar después de aplicar un parche.

Actualización del 11/07/2024: Las siguientes versiones del software de GDC para VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza tu estación de trabajo de administrador, tus clústeres de administrador y los clústeres de usuario (incluidos los grupos de nodos) a una de las siguientes versiones o una posterior. Para obtener instrucciones, consulta Actualiza un clúster o grupo de nodos.

• 1.16.10-gke.36
• 1.28.700-gke.151
• 1.29.200-gke.245

En la actualización del 2 de julio de 2024 de este boletín, se indicó de forma incorrecta que todas las versiones admitidas de imágenes de Ubuntu en el software de GDC para VMware ejecutan versiones de OpenSSH que son vulnerables a este problema.  Los clústeres de imágenes de Ubuntu en software de GDC solo para VMware versión 1.16 ejecutan versiones de OpenSSH que no son vulnerables a este problema. Las imágenes de Ubuntu en software de GDC solo para VMware 1.28 y 1.29 son vulnerables. Las imágenes de Container-Optimized OS en todas las versiones admitidas de software de GDC para VMware son vulnerables a este problema.

Actualización del 02/07/2024: Todas las versiones admitidas de imágenes de Container-Optimized OS y Ubuntu en el software de GDC para VMware ejecutan versiones de OpenSSH que son vulnerables a este problema.

El software de GDC para clústeres de VMware con direcciones IP de nodos públicos y SSH expuestos a Internet debe tratarse con la mayor prioridad para la mitigación.

En la actualidad, se descubrió una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, en OpenSSH. La vulnerabilidad explota una condición de carrera que podría usarse para obtener acceso a una shell remota, lo que permitiría que los atacantes obtengan acceso raíz a nodos de GKE. En el momento de la publicación, se cree que la explotación podría ser difícil y tardar varias horas por cada máquina que está siendo atacada. No tenemos conocimiento de ningún intento de explotación.

¿Qué debo hacer?

Actualización del 02/07/2024: Se pondrá a disposición lo antes posible una versión parchada del software de GDC para VMware que incluya una versión actualizada de OpenSSH. Este boletín se actualizará cuando estén disponibles los parches. Te recomendamos que apliques las siguientes mitigaciones según sea necesario.

Inhabilita SSH en los nodos del clúster

Puedes cambiar la configuración de red de tu infraestructura para no permitir la conectividad SSH desde fuentes no confiables, como Internet público.

Cambia la configuración de sshd

Si no puedes aplicar la mitigación anterior, publicamos un DaemonSet que establece el LoginGraceTime de sshd en cero y reinicia el daemon de SSH. Este DaemonSet se puede aplicar al clúster para mitigar el ataque. Ten en cuenta que esta configuración podría aumentar el riesgo de ataques de denegación del servicio y causar problemas con el acceso legítimo a SSH. Quita este DaemonSet después de aplicar un parche.

Actualización del 11/07/2024: Las siguientes versiones de GKE en AWS se actualizaron con código para corregir esta vulnerabilidad:

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Actualiza el plano de control y los grupos de nodos de GKE en AWS a una de estas versiones con parches o posteriores. Para obtener instrucciones, consulta Actualiza la versión de los clústeres de AWS y Actualiza un grupo de nodos.

Actualización del 02/07/2024: Todas las versiones admitidas de imágenes de Ubuntu en GKE en AWS ejecutan versiones de OpenSSH que son vulnerables a este problema.

Los clústeres de GKE en AWS con direcciones IP de nodos públicos y SSH expuestos a Internet deben tratarse con la mayor prioridad para la mitigación.

En la actualidad, se descubrió una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, en OpenSSH. La vulnerabilidad explota una condición de carrera que podría usarse para obtener acceso a una shell remota, lo que permitiría que los atacantes obtengan acceso raíz a nodos de GKE. En el momento de la publicación, se cree que la explotación podría ser difícil y tardar varias horas por cada máquina que está siendo atacada. No tenemos conocimiento de ningún intento de explotación.

¿Qué debo hacer?

Actualización del 02/07/2024: Se pondrá a disposición lo antes posible una versión parchada de GKE en AWS que incluya una versión actualizada de OpenSSH. Este boletín se actualizará cuando estén disponibles. Te recomendamos que sigas los siguientes pasos para verificar la exposición de tu clúster y aplicar las mitigaciones descritas según sea necesario.

Determina si tus nodos tienen direcciones IP públicas

GKE en AWS no aprovisiona ninguna máquina con direcciones IP públicas ni con reglas de firewall que permitan el tráfico al puerto 22 de forma predeterminada. Sin embargo, según la configuración de la subred, las máquinas pueden obtener automáticamente una dirección IP pública durante el aprovisionamiento.

Para verificar si los nodos se aprovisionan con direcciones IP públicas, consulta la configuración de la subred asociada con el recurso de tu grupo de nodos de AWS.

Inhabilita SSH en los nodos del clúster

Aunque GKE en AWS no permite el tráfico en el puerto 22 en ningún nodo de forma predeterminada, los clientes pueden conectar grupos de seguridad adicionales a los grupos de nodos, lo que habilita el tráfico entrante de SSH.

Te recomendamos que quites o reduzcas el alcance de las reglas correspondientes de los grupos de seguridad proporcionados.

Convierte grupos de nodos públicos en privados

Para proteger mejor los clústeres con nodos públicos, te recomendamos que primero no permitas SSH a través de tu grupo de seguridad, como se describe en la sección anterior. Si no puedes inhabilitar SSH a través de las reglas del grupo de seguridad, puedes convertir los grupos de nodos públicos en privados. Para ello, inhabilita la opción de asignar automáticamente IPs públicas a máquinas dentro de una subred y vuelve a aprovisionar el grupo de nodos.

Actualización del 07/11/2024: Las siguientes versiones de GKE en Azure se actualizaron con código para corregir esta vulnerabilidad.

• 1.27.14-gke.1200
• 1.28.10-gke.1300
• 1.29.5-gke.1100

Actualiza el plano de control y los grupos de nodos de GKE en Azure a una de estas versiones con parches o versiones posteriores. Para obtener instrucciones, consulta Actualiza la versión de tu clúster de Azure y Actualiza un grupo de nodos.

Actualización del 02/07/2024: Todas las versiones admitidas de imágenes de Ubuntu en GKE en Azure ejecutan versiones de OpenSSH que son vulnerables a este problema.

Los clústeres de GKE en Azure con direcciones IP de nodos públicos y SSH expuestos a Internet deben tratarse con la mayor prioridad para la mitigación.

En la actualidad, se descubrió una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, en OpenSSH. La vulnerabilidad explota una condición de carrera que podría usarse para obtener acceso a una shell remota, lo que permitiría que los atacantes obtengan acceso raíz a nodos de GKE. En el momento de la publicación, se cree que la explotación podría ser difícil y tardar varias horas por cada máquina que está siendo atacada. No tenemos conocimiento de ningún intento de explotación.

¿Qué debo hacer?

Actualización del 02/07/2024: Se pondrá a disposición lo antes posible una versión parchada de GKE en Azure que incluya una versión actualizada de OpenSSH. Este boletín se actualizará cuando estén disponibles. Te recomendamos que sigas los siguientes pasos para verificar la exposición de tu clúster y aplicar las mitigaciones descritas según sea necesario.

Determina si tus nodos tienen direcciones IP públicas

GKE en Azure no aprovisiona ninguna máquina con direcciones IP públicas ni con reglas de firewall que permitan el tráfico al puerto 22 de forma predeterminada. Para revisar tu configuración de Azure y verificar si hay direcciones IP públicas configuradas en tu clúster de GKE en Azure, ejecuta el siguiente comando:

az network public-ip list -g CLUSTER_RESOURCE_GROUP_NAME -o tsv

Inhabilita SSH en los nodos del clúster

Aunque GKE en Azure no permite el tráfico en el puerto 22 en ningún nodo de forma predeterminada, los clientes pueden actualizar las reglas de NetworkSecurityGroup a grupos de nodos, lo que habilita el tráfico entrante de SSH desde la Internet pública.

Te recomendamos que revises los grupos de seguridad de red (NSG) asociados con tus clústeres de Kubernetes. Si existe una regla de NSG que permita tráfico entrante ilimitado en el puerto 22 (SSH), haz una de las siguientes acciones:

• Quita la regla por completo: Si no se requiere el acceso SSH a los nodos del clúster desde Internet, quita la regla para eliminar posibles vectores de ataque.
• Restringe el alcance de la regla: Restringe el acceso entrante en el puerto 22 solo a las direcciones IP o los rangos específicos que lo requieran. Esto minimiza la superficie expuesta a posibles ataques.

Convierte grupos de nodos públicos en privados

Para proteger mejor los clústeres con nodos públicos, te recomendamos que primero no permitas SSH a través de tu grupo de seguridad, como se describe en la sección anterior. Si no puedes inhabilitar SSH a través de las reglas del grupo de seguridad, puedes convertir los grupos de nodos públicos en privados quitando las direcciones IP públicas asociadas con las VMs.

Para quitar una dirección IP pública de una VM y reemplazarla por una configuración de dirección IP privada, consulta Cómo desasociar una dirección IP pública de una VM de Azure.

Impacto: Se interrumpirán todas las conexiones existentes que usen la dirección IP pública. Asegúrate de tener métodos de acceso alternativos, como una VPN o Azure Bastion.

Actualización del 02/07/2024: La versión original de este boletín para el software de GDC para Bare Metal indicaba de forma incorrecta que las versiones de parche estaban en curso. El software de GDC para Bare Metal no se ve afectado directamente porque no administra el daemon ni la configuración de SSH del sistema operativo. Por lo tanto, las versiones de parches son responsabilidad del proveedor del sistema operativo, como se describe en la sección ¿Qué debo hacer?.

En la actualidad, se descubrió una vulnerabilidad de ejecución de código remoto, CVE-2024-6387, en OpenSSH. La vulnerabilidad explota una condición de carrera que podría usarse para obtener acceso a una shell remota, lo que permitiría que los atacantes obtengan acceso raíz a nodos de GKE. En el momento de la publicación, se cree que la explotación podría ser difícil y tardar varias horas por cada máquina que está siendo atacada. No tenemos conocimiento de ningún intento de explotación.

¿Qué debo hacer?

Actualización del 02/07/2024: Comunícate con tu proveedor de SO para obtener un parche para los sistemas operativos que se usan con el software de GDC para Bare Metal.

Hasta que apliques el parche del proveedor del SO, asegúrate de que las máquinas públicas accesibles no permitan conexiones SSH desde Internet. Si eso no es posible, una alternativa es establecer LoginGraceTime en cero y reiniciar el servidor sshd:

grep "^LoginGraceTime" /etc/ssh/sshd_config
            LoginGraceTime 0

Ten en cuenta que este cambio de configuración podría aumentar el riesgo de ataques de denegación del servicio y causar problemas con el acceso legítimo a SSH.

Texto original del 1/7/2024 (consulta la actualización anterior del 2/7/2024 para ver una corrección):

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26923

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 20/08/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a las siguientes versiones o versiones posteriores:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26923

¿Qué debo hacer?

Actualización del 25/09/2024: Las siguientes versiones del software de GDC para VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza el software de GDC para clústeres de VMware a las siguientes versiones o versiones posteriores:

• 1.29.400
• 1.28.900

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26923

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26923

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26923

¿Qué debo hacer?

No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26924

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 06/08/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes versiones de GKE se actualizaron con un código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a las siguientes versiones o versiones posteriores:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1360000
• 1.27.14-gke.1022000
• 1.28.9-gke.1289000
• 1.29.5-gke.1010000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26924

¿Qué debo hacer?

Actualización del 17/09/2024: Las siguientes versiones del software de GDC para VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza el software de GDC para clústeres de VMware a las siguientes versiones o versiones posteriores:

• 1.29.400
• 1.28.800
• 1.16.11

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26924

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26924

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26924

¿Qué debo hacer?

No es necesario que realices ninguna acción. El software de GDC para Bare Metal no se ve afectado, ya que no incluye un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2024-26584

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2024-26584

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2024-26584

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2024-26584

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2024-26584

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26584

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 18/07/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

La siguiente versión de GKE se actualizó con un código que corrige esta vulnerabilidad en Container-Optimized OS. Actualiza tus grupos de nodos de Container-Optimized OS a la siguiente versión de parche o posterior:

• 1.27.15-gke.1125000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.28.9-gke.1209000
• 1.29.4-gke.1542000

Las siguientes versiones secundarias se ven afectadas, pero no tienen una versión de parche disponible. Actualizaremos este boletín cuando haya versiones de parches disponibles:

• 1.26
• 1.27

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26584

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26584

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26584

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26584

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2024-26583

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 10/07/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1444000
• 1.27.14-gke.1096000
• 1.28.10-gke.1148000
• 1.29.5-gke.1041001
• 1.30.1-gke.1156001

En el caso de las versiones secundarias 1.26 y 1.27, actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posteriores:

• 1.26.15-gke.1404002
• 1.27.14-gke.1059002

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2024-26583

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2024-26583

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2024-26583

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2024-26583

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2022-23222

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1381000
• 1.27.14-gke.1022000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2022-23222

¿Qué debo hacer?

Actualización del 26/09/2024: Las siguientes versiones del software de GDC para VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza el software de GDC para clústeres de VMware a las siguientes versiones o versiones posteriores:

• 1.28.900-gke.113
• 1.29.400-gke.8

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2022-23222

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2022-23222

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2022-23222

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución de código remoto. Las versiones 2.0.7 a 3.0.3 de Fluent Bit se ven afectadas.

GKE no usa una versión vulnerable de Fluent Bit y no se ve afectado.

¿Qué debo hacer?

GKE no se ve afectado por esta vulnerabilidad. No es necesario que realices ninguna acción.

Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución de código remoto. Las versiones 2.0.7 a 3.0.3 de Fluent Bit se ven afectadas.

GKE en VMware no usa una versión vulnerable de Fluent Bit y no se ve afectado.

¿Qué debo hacer?

GKE en VMware no se ve afectado por esta vulnerabilidad. No es necesario que realices ninguna acción.

Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución de código remoto. Las versiones 2.0.7 a 3.0.3 de Fluent Bit se ven afectadas.

GKE en AWS no usa una versión vulnerable de Fluent Bit y no se ve afectado.

¿Qué debo hacer?

GKE en AWS no se ve afectado por esta vulnerabilidad y no es necesario que realices ninguna acción.

Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución de código remoto. Las versiones 2.0.7 a 3.0.3 de Fluent Bit se ven afectadas.

GKE en Azure no usa una versión vulnerable de Fluent Bit y no se ve afectado.

¿Qué debo hacer?

GKE en Azure no se ve afectado por esta vulnerabilidad y no es necesario que realices ninguna acción.

Se descubrió una nueva vulnerabilidad (CVE-2024-4323) en Fluent Bit que podría provocar la ejecución de código remoto. Las versiones 2.0.7 a 3.0.3 de Fluent Bit se ven afectadas.

GKE on Bare Metal no usa una versión vulnerable de Fluent Bit y no se ve afectado.

¿Qué debo hacer?

GKE on Bare Metal no se ve afectado por esta vulnerabilidad. No es necesario que realices ninguna acción.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-52620

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 18/07/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-52620

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-52620

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-52620

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-52620

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26642

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 19/08/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a las siguientes versiones o versiones posteriores:

• 1.27.16-gke.1051000
• 1.28.12-gke.1052000
• 1.29.7-gke.1174000
• 1.30.3-gke.1225000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.13-gke.1166000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26642

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26642

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26642

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26642

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26581

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 22/05/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a las siguientes versiones o versiones posteriores:

• 1.26.15-gke.1300000
• 1.27.13-gke.1011000
• 1.28.9-gke.1209000
• 1.29.4-gke.1542000
• 1.30.0-gke.1712000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.25.16-gke.1596000
• 1.26.14-gke.1076000
• 1.27.11-gke.1202000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1300000
• 1.28.9-gke.1209000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26581

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26581

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26581

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26581

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26808

Actualización del 09/05/2024: Se corrigió la gravedad de media a alta. En el boletín original, se indicaba que los clústeres de Autopilot se veían afectados, pero esto era incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 15/05/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a las siguientes versiones o versiones posteriores:

• 1.26.15-gke.1323000
• 1.27.13-gke.1206000
• 1.28.10-gke.1000000
• 1.29.3-gke.1282004
• 1.30.0-gke.1584000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26808

¿Qué debo hacer?

Actualización del 25/09/2024: Las siguientes versiones del software de GDC para VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza el software de GDC para clústeres de VMware a las siguientes versiones o versiones posteriores:

• 1.28.600
• 1.16.9

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26808

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26808

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26808

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Actualización del 09/05/2024: Se corrigió la gravedad de media a alta.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26643

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 06/08/2024: Se agregaron versiones de parche para los grupos de nodos de Ubuntu en GKE.

Las siguientes versiones de GKE se actualizaron con un código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a las siguientes versiones o versiones posteriores:

• 1.27.15-gke.1252000
• 1.28.11-gke.1260000
• 1.29.6-gke.1326000
• 1.30.2-gke.1394003

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.8-gke.1067000
• 1.28.8-gke.1095000
• 1.29.3-gke.1093000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26643

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26643

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26643

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26643

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26585

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 18/07/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.26.15-gke.1469000
• 1.27.14-gke.1100000
• 1.28.10-gke.1148000
• 1.29.6-gke.1038000
• 1.30.2-gke.1394000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26585

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26585

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26585

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-26585

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Hace poco, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). Los clústeres de GKE con redes autorizadas configuradas están protegidos por el límite de acceso a la red, pero todos los demás clústeres se ven afectados.

Los clústeres de GKE Autopilot y Standard se ven afectados.

¿Qué debo hacer?

Actualización del 24/04/2024: Se agregaron versiones de parche para GKE.

Las siguientes versiones de GKE incluyen los parches de seguridad de Golang para corregir esta vulnerabilidad. Actualiza tus clústeres de GKE a las siguientes versiones o versiones posteriores:

• 1.25.16-gke.1759000
• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1282000

El proyecto golang lanzó parches el 3 de abril de 2024. Actualizaremos este boletín cuando estén disponibles las versiones de GKE que incorporen estos parches. Para solicitar un parche en un plazo acelerado, comunícate con el equipo de asistencia.

Para mitigar el problema, configura redes autorizadas para el acceso al plano de control:

Para proteger tus clústeres de esta clase de ataques, configura redes autorizadas. Sigue las instrucciones para habilitar redes autorizadas para un clúster existente.

Para obtener más información sobre cómo las redes autorizadas controlan el acceso al plano de control, consulta Cómo funcionan las redes autorizadas. Para ver el acceso de red autorizado predeterminado, consulta la tabla en la sección Acceso a los extremos del plano de control.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad (CVE-2023-45288) permite que un atacante ejecute un ataque DoS en el plano de control de Kubernetes.

Hace poco, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE).

¿Qué debo hacer?

Actualización del 17/07/2024: Se agregaron versiones de parche para GKE en VMware.

Las siguientes versiones de GKE en VMware incluyen código que corrige esta vulnerabilidad. Actualiza tus clústeres de GKE en VMware a las siguientes versiones o a versiones posteriores:

• 1.29.0
• 1.28.500
• 1.16.8

El proyecto golang lanzó parches el 3 de abril de 2024. Actualizaremos este boletín cuando estén disponibles las versiones de GKE en VMware que incorporen estos parches. Para solicitar un parche en un plazo acelerado, comunícate con el equipo de asistencia.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad (CVE-2023-45288) permite que un atacante ejecute un ataque DoS en el plano de control de Kubernetes.

Hace poco, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE).

¿Qué debo hacer?

El proyecto golang lanzó parches el 3 de abril de 2024. Actualizaremos este boletín cuando estén disponibles las versiones de GKE en AWS que incorporen estos parches. Para solicitar un parche en un plazo acelerado, comunícate con el equipo de asistencia.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad (CVE-2023-45288) permite que un atacante ejecute un ataque DoS en el plano de control de Kubernetes.

Hace poco, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE).

¿Qué debo hacer?

El proyecto golang lanzó parches el 3 de abril de 2024. Actualizaremos este boletín cuando estén disponibles las versiones de GKE en Azure que incorporen estos parches. Para solicitar un parche en un plazo acelerado, comunícate con el equipo de asistencia.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad (CVE-2023-45288) permite que un atacante ejecute un ataque DoS en el plano de control de Kubernetes.

Hace poco, se descubrió una vulnerabilidad de denegación del servicio (DoS) (CVE-2023-45288) en varias implementaciones del protocolo HTTP/2, incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE).

¿Qué debo hacer?

Actualización del 09/07/2024: Se agregaron versiones de parche para GKE on Bare Metal.

Las siguientes versiones de GKE on Bare Metal incluyen código para corregir esta vulnerabilidad. Actualiza tus clústeres de GKE on Bare Metal a las siguientes versiones o versiones posteriores:

• 1.29.100
• 1.28.600
• 1.16.9

El proyecto golang lanzó parches el 3 de abril de 2024. Actualizaremos este boletín cuando estén disponibles las versiones de GKE on Bare Metal que incorporen estos parches. Para solicitar un parche en un plazo acelerado, comunícate con el equipo de asistencia.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad (CVE-2023-45288) permite que un atacante ejecute un ataque DoS en el plano de control de Kubernetes.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-1085

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 06/05/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a las siguientes versiones o versiones posteriores.

• 1.26.15-gke.1158000
• 1.27.12-gke.1190000
• 1.28.8-gke.1175000
• 1.29.3-gke.1093000

Actualización del 04/04/2024: Se corrigieron las versiones mínimas para los grupos de nodos de Container-Optimized OS de GKE.

Las versiones mínimas de GKE que contenían las correcciones de Container-Optimized OS que se enumeraron anteriormente eran incorrectas. Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Container-Optimized OS. Actualiza tus grupos de nodos de Container-Optimized OS a las siguientes versiones o versiones posteriores:

• 1.25.16-gke.1520000
• 1.26.13-gke.1221000
• 1.27.10-gke.1243000
• 1.28.8-gke.1083000
• 1.29.3-gke.1054000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.25.16-gke.1518000
• 1.26.13-gke.1219000
• 1.27.10-gke.1240000
• 1.28.6-gke.1433000
• 1.29.1-gke.1716000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-1085

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-1085

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-1085

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-1085

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3611

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3611

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3611

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3611

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3611

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3776

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3776

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3776

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3776

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3776

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3610

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.3-gke.1001002
• 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3610

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3610

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3610

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-3610

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-0193

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.10-gke.1149000
• 1.28.6-gke.1274000
• 1.29.1-gke.1388000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1392000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-0193

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-0193

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-0193

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2024-0193

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-6932

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-6932

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-6932

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-6932

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu:

• CVE-2023-6932

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-6931

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.24.17-gke.2364001
• 1.25.16-gke.1229000
• 1.26.6-gke.1017002
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.25.16-gke.1412001
• 1.26.6-gke.1017002
• 1.27.10-gke.1055001
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-6931

¿Qué debo hacer?

Actualización del 17/04/2024: Se agregaron versiones de parche para GKE en VMware.

Las siguientes versiones de GKE en VMware se actualizaron con un código que corrige esta vulnerabilidad. Actualiza tus clústeres a las siguientes versiones o versiones posteriores:

• 1.28.200
• 1.16.6
• 1.15.10

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-6931

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-6931

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-6931

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

CVE-2023-5528 permite que un atacante cree pods y volúmenes persistentes en nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Los clústeres de GKE Standard que ejecutan nodos de Windows Server y el uso de un complemento de almacenamiento en árbol podrían verse afectados.

Los clústeres de GKE Autopilot y los grupos de nodos de GKE que usan GKE Sandbox no se ven afectados porque no admiten nodos de Windows Server.

¿Qué debo hacer?

Determina si tienes nodos de Windows Server en uso en tus clústeres:

kubectl get nodes -l kubernetes.io/os=windows

Revisa los registros de auditoría en busca de evidencia de explotación. Los registros de auditoría de Kubernetes se pueden auditar para determinar si se está aprovechando esta vulnerabilidad. Los eventos de creación de volumen persistente con campos de ruta de acceso locales que contienen caracteres especiales son un indicador claro de explotación.

Actualiza tu clúster de GKE y los grupos de nodos a una versión con parche. Las siguientes versiones de GKE se actualizaron para corregir esta vulnerabilidad. Incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y los grupos de nodos de Windows Server a una de las siguientes versiones de GKE o posteriores:

• 1.24.17-gke.6100
• 1.25.15-gke.2000
• 1.26.10-gke.2000
• 1.27.7-gke.2000
• 1.28.3-gke.1600

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

¿Qué vulnerabilidades trata este parche?

CVE-2023-5528 permite que un atacante cree pods y volúmenes persistentes en nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

CVE-2023-5528 permite que un atacante cree pods y volúmenes persistentes en nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Los clústeres de GKE en VMware que ejecutan nodos de Windows Server y usan un complemento de almacenamiento en árbol podrían verse afectados.

¿Qué debo hacer?

Determina si tienes nodos de Windows Server en uso en tus clústeres:

kubectl get nodes -l kubernetes.io/os=windows

Revisa los registros de auditoría en busca de evidencia de explotación. Los registros de auditoría de Kubernetes se pueden auditar para determinar si se está aprovechando esta vulnerabilidad. Los eventos de creación de volumen persistente con campos de ruta de acceso locales que contienen caracteres especiales son un indicador claro de explotación.

Actualiza el clúster de GKE alojado en VMware y los grupos de nodos a una versión con parche. Las siguientes versiones de GKE en VMware se actualizaron para corregir esta vulnerabilidad. Incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y los grupos de nodos de Windows Server a una de las siguientes versiones de GKE en VMware o posteriores:

• 1.28.100-gke.131
• 1.16.5-gke.28
• 1.15.8-gke.41

¿Qué vulnerabilidades trata este parche?

CVE-2023-5528 permite que un atacante cree pods y volúmenes persistentes en nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

CVE-2023-5528 permite que un atacante cree pods y volúmenes persistentes en nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Los clústeres de GKE en AWS no se ven afectados.

¿Qué debo hacer?

No es necesario realizar ninguna acción

CVE-2023-5528 permite que un atacante cree pods y volúmenes persistentes en nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Los clústeres de GKE en Azure no se ven afectados.

¿Qué debo hacer?

No es necesario realizar ninguna acción

CVE-2023-5528 permite que un atacante cree pods y volúmenes persistentes en nodos de Windows de una manera que permita la elevación de privilegios de administrador en esos nodos.

Los clústeres de GKE on Bare Metal no se ven afectados.

¿Qué debo hacer?

No es necesario realizar ninguna acción

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods en los nodos de Container-Optimized OS y Ubuntu podría obtener acceso completo al nodo sistema de archivos.

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 28/02/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o una posterior:

• 1.25.16-gke.1537000
• 1.26.14-gke.1006000

Actualización del 15/02/2024: Debido a un problema, es posible que las siguientes versiones de parche de Ubuntu de la actualización del 14/02/2024 hagan que tus nodos entren en un estado no saludable. No actualices a las siguientes versiones de parche. Actualizaremos este boletín cuando haya versiones de parche más recientes para Ubuntu 1.25 y 1.26.

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000

Si ya actualizaste a una de estas versiones de parche, cambia a una versión inferior de forma manual tu grupo de nodos a una versión anterior en tu canal de versiones.

Actualización del 14/02/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Ubuntu. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o una posterior:

• 1.25.16-gke.1497000
• 1.26.13-gke.1189000
• 1.27.10-gke.1207000
• 1.28.6-gke.1369000
• 1.29.1-gke.1575000

Actualización del 06/02/2024: Las siguientes versiones de GKE se actualizaron con código para corregir esta vulnerabilidad en Container-Optimized OS. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y los grupos de nodos de Container-Optimized OS a una de las siguientes versiones de GKE o posteriores:

• 1.25.16-gke.1460000
• 1.26.13-gke.1144000
• 1.27.10-gke.1152000
• 1.28.6-gke.1289000
• 1.29.1-gke.1425000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Estamos actualizando GKE con un código para corregir esta vulnerabilidad. Actualizaremos este boletín cuando haya versiones de parches disponibles.

¿Qué vulnerabilidades trata este parche?

runc es una herramienta de bajo nivel para crear y ejecutar contenedores de Linux que se usan en los Pods de Kubernetes. En las versiones de runc anteriores a los parches lanzados en este boletín de seguridad, varios descriptores de archivos se filtraron de forma inadvertida en el proceso runc init que se ejecuta dentro de un contenedor. runc tampoco verificó que el directorio de trabajo final de un contenedor estuviera dentro del espacio de nombres de activación del contenedor. Una imagen de contenedor maliciosa o un usuario con permiso para ejecutar pods arbitrarios podrían usar una combinación de los descriptores de archivos filtrados y la falta de validación de directorio de trabajo para obtener acceso al espacio de nombres de activación de host de un nodo, y acceder a todo el host y reemplazar los objetos binarios arbitrarios en el nodo.

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods en los nodos de Container-Optimized OS y Ubuntu podría obtener acceso completo al nodo sistema de archivos.

¿Qué debo hacer?

Actualización del 06/03/2024: Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a las siguientes versiones o versiones posteriores:

• 1.28.200
• 1.16.6
• 1.15.9

Las versiones de parche y una evaluación de gravedad para GKE en VMware están en curso. Actualizaremos este boletín con esa información cuando esté disponible.

¿Qué vulnerabilidades trata este parche?

runc es una herramienta de bajo nivel para crear y ejecutar contenedores de Linux que se usan en los Pods de Kubernetes. En las versiones de runc anteriores a los parches lanzados en este boletín de seguridad, varios descriptores de archivos se filtraron inadvertidamente en el proceso runc init que se ejecuta dentro de un contenedor. runc tampoco verificó que el directorio de trabajo final de un contenedor estuviera dentro del espacio de nombres de activación del contenedor. Una imagen de contenedor maliciosa o un usuario con permiso para ejecutar pods arbitrarios podrían usar una combinación de los descriptores de archivos filtrados y la falta de validación de directorio de trabajo para obtener acceso al espacio de nombres de activación de host de un nodo, y acceder a todo el host y reemplazar los objetos binarios arbitrarios en el nodo.

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods en los nodos de Container-Optimized OS y Ubuntu podría obtener acceso completo al nodo sistema de archivos.

¿Qué debo hacer?

Actualización del 06/05/2024: Las siguientes versiones de GKE en AWS se actualizaron con parches para CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Las versiones de parche y una evaluación de gravedad para GKE en AWS están en curso. Actualizaremos este boletín con esa información cuando esté disponible.

¿Qué vulnerabilidades trata este parche?

runc es una herramienta de bajo nivel para crear y ejecutar contenedores de Linux que se usan en los Pods de Kubernetes. En las versiones de runc anteriores a los parches lanzados en este boletín de seguridad, varios descriptores de archivos se filtraron inadvertidamente en el proceso runc init que se ejecuta dentro de un contenedor. runc tampoco verificó que el directorio de trabajo final de un contenedor estuviera dentro del espacio de nombres de activación del contenedor. Una imagen de contenedor maliciosa o un usuario con permiso para ejecutar pods arbitrarios podrían usar una combinación de los descriptores de archivos filtrados y la falta de validación de directorio de trabajo para obtener acceso al espacio de nombres de activación de host de un nodo, y acceder a todo el host y reemplazar los objetos binarios arbitrarios en el nodo.

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods en los nodos de Container-Optimized OS y Ubuntu podría obtener acceso completo al nodo sistema de archivos.

¿Qué debo hacer?

Actualización del 06/05/2024: Las siguientes versiones de GKE en Azure se actualizaron con parches para CVE-2024-21626:

• 1.28.5-gke.1200
• 1.27.10-gke.500
• 1.26.13-gke.400

Las versiones de parche y una evaluación de gravedad para GKE en Azure están en curso. Actualizaremos este boletín con esa información cuando esté disponible.

¿Qué vulnerabilidades trata este parche?

runc es una herramienta de bajo nivel para crear y ejecutar contenedores de Linux que se usan en los Pods de Kubernetes. En las versiones de runc anteriores a los parches lanzados en este boletín de seguridad, varios descriptores de archivos se filtraron inadvertidamente en el proceso runc init que se ejecuta dentro de un contenedor. runc tampoco verificó que el directorio de trabajo final de un contenedor estuviera dentro del espacio de nombres de activación del contenedor. Una imagen de contenedor maliciosa o un usuario con permiso para ejecutar pods arbitrarios podrían usar una combinación de los descriptores de archivos filtrados y la falta de validación de directorio de trabajo para obtener acceso al espacio de nombres de activación de host de un nodo, y acceder a todo el host y reemplazar los objetos binarios arbitrarios en el nodo.

Se detectó una vulnerabilidad de seguridad, CVE-2024-21626, en runc, en la que un usuario con permiso para crear Pods podría obtener acceso completo al sistema de archivos del nodo.

¿Qué debo hacer?

Actualización del 02/04/2024: Las siguientes versiones de GKE on Bare Metal se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a las siguientes versiones o versiones posteriores:

• 1.28.200-gke.118
• 1.16.6
• 1.15.10

Las versiones de parche y una evaluación de gravedad para GKE on Bare Metal están en curso. Actualizaremos este boletín con esa información cuando esté disponible.

¿Qué vulnerabilidades trata este parche?

runc es una herramienta de bajo nivel para crear y ejecutar contenedores de Linux que se usan en los Pods de Kubernetes. En las versiones de runc anteriores a los parches lanzados en este boletín de seguridad, varios descriptores de archivos se filtraron inadvertidamente en el proceso runc init que se ejecuta dentro de un contenedor. runc tampoco verificó que el directorio de trabajo final de un contenedor estuviera dentro del espacio de nombres de activación del contenedor. Una imagen de contenedor maliciosa o un usuario con permiso para ejecutar pods arbitrarios podrían usar una combinación de los descriptores de archivos filtrados y la falta de validación de directorio de trabajo para obtener acceso al espacio de nombres de activación de host de un nodo, y acceder a todo el host y reemplazar los objetos binarios arbitrarios en el nodo.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-6817

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 07/02/2024: Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.25.16-gke.1458000
• 1.26.13-gke.1143000
• 1.27.10-gke.1152000
• 1.28.6-gke.1276000
• 1.29.1-gke.1221000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.25.16-gke.1229000
• 1.26.12-gke.1087000
• 1.27.3-gke.1001003
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-6817

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-6817

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-6817

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-6817

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Actualización del 26/01/2024: Se publicó la investigación de seguridad que encontró una pequeña cantidad de clústeres de GKE con una configuración incorrecta creada por el cliente que involucraba al grupo system:authenticated. La entrada de blog del investigador hace referencia a 1,300 clústeres con algunas vinculaciones mal configuradas y 108 con privilegios altos. Trabajamos en estrecha colaboración con los clientes afectados para notificarles y ayudarlos a quitar las vinculaciones mal configuradas.

Identificamos varios clústeres en los que los usuarios otorgaron privilegios de Kubernetes al grupo system:authenticated, que incluye a todos los usuarios con una Cuenta de Google. Estos tipos de vinculaciones no se recomiendan debido a que infringen el principio de privilegio mínimo y otorgan acceso a grupos muy grandes de usuarios. Consulta la guía en "¿Qué debo hacer?" para obtener instrucciones sobre cómo encontrar estos tipos de vinculaciones.

Recientemente, un investigador de seguridad informó hallazgos de clústeres con parámetros de configuración incorrectos de RBAC a través de nuestro programa de informes de vulnerabilidades.

El enfoque de Google respecto a la autenticación es que autenticar en Google Cloud y GKE sea lo más sencillo y seguro posible sin agregar pasos complejos de configuración. La autenticación solo nos indica quién es el usuario, mientras que la autorización es la etapa en la que se determina el acceso. Por lo tanto, el grupo system:authenticated en GKE que contiene todos los usuarios autenticados a través del proveedor de identidad de Google funciona según lo previsto y de la misma manera que el identificador allAuthenticatedUsers de IAM.

Con esto en mente, tomamos varias medidas para reducir el riesgo de que los usuarios hagan errores de autorización con los usuarios y grupos integrados de Kubernetes, incluidos system:anonymous, system:authenticated y system:unauthenticated. Todos estos usuarios y grupos representan un riesgo para el clúster si se les otorgan permisos. Hablamos sobre algunos de los ataques a configuraciones erróneas de RBAC y las defensas disponibles en Kubecon en noviembre de 2023.

Para proteger a los usuarios de errores accidentales de autorización con estos usuarios y grupos del sistema, tomamos las siguientes medidas:

• De forma predeterminada, se bloquearon nuevas vinculaciones del ClusterRole con muchos privilegioscluster-admin al usuariosystem:anonymous, Grupo system:authenticated o Grupo system:unauthenticated en la versión 1.28 de GKE.
• Creamos reglas de detección en Event Threat Detection (GKE_CONTROL_PLANE_CREATE_SENSITIVE_BINDING) como parte del Security Command Center.
• En Policy Controller, creamos con K8sRestrictRoleBindings reglas de prevención que se pueden configurar.
• Se enviaron notificaciones por correo electrónico a todos los usuarios de GKE con vinculaciones a estos usuarios o grupos para pedirles que revisen su configuración.
• Como primera capa de defensa, creamos funciones de autorización de redes y también hicimos recomendaciones para restringirles a los clústeres el acceso a la red.
• Se informó sobre este problema en una charla en Kubecon en noviembre de 2023.

Los clústeres que aplican restricciones de redes autorizadas tienen una primera capa de defensa: no se pueden atacar directamente desde Internet. Sin embargo, te recomendamos que quites estas vinculaciones para la defensa en profundidad y para protegerte contra errores en los controles de red.
Ten en cuenta que existen varios casos en que las vinculaciones a usuarios o grupos del sistema de Kubernetes se usan de manera intencional, p. ej., kubeadm bootstrapping, el panel Rancher y los secretos sellados de Bitnami. Confirmamos con esos proveedores de software que aquellas vinculaciones están funcionando correctamente.

Estamos investigando formas en las que podamos protegernos aún más contra la configuración incorrecta de la RBAC del usuario con estos usuarios y grupos del sistema a través de la prevención y la detección.

¿Qué debo hacer?

Para evitar cualquier vinculación nueva de cluster-admin al usuario system:anonymous, grupo system:authenticated o grupo system:unauthenticated, los usuarios pueden actualizar a GKE v1.28 o posteriores (notas de la versión), en las que se bloquea la creación de esas vinculaciones.

Las vinculaciones existentes deben revisarse según esta guía.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2023-6111

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.7-gke.1063001
• 1.28.5-gke.1194000
• 1.29.0-gke.1340000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2023-6111

¿Qué debo hacer?

Actualización del 20/02/2024: Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a las siguientes versiones o versiones posteriores: 1.28.100

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2023-6111

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2023-6111

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS.

• CVE-2023-6111

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3609

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot con la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.26.5-gke.1021001
• 1.27.3-gke.1001002

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3609

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3609

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3609

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3609

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3389

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.10-gke.1027001
• 1.26.5-gke.1014001
• 1.27.3-gke.1001002
• 1.28.1-gke.1002003

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3389

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3389

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3389

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3389

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3090

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.400
• 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3090

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3090

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3090

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3090

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3390

Actualización del 21 de diciembre de 2023: En el boletín original, se indicaba que los clústeres de Autopilot se veían afectados, pero esto era incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.27.4-gke.400
• 1.28.0-gke.100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.24.14-gke.1027001
• 1.25.12-gke.900
• 1.26.5-gke.1014001
• 1.27.4-gke.900
• 1.28.1-gke.1050000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3390

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3390

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3390

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3390

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Un atacante que haya vulnerado el contenedor de registro de Fluent Bit podría combinar ese acceso con los privilegios elevados que requiere Cloud Service Mesh (en los clústeres que lo habilitaron) para elevar los privilegios en el clúster. Se mitigaron los problemas con Fluent Bit y Cloud Service Mesh, y ahora están disponibles las correcciones. Estas vulnerabilidades no se pueden aprovechar por sí solas en GKE y requieren una vulneración inicial. No tenemos conocimiento de ningún caso de explotación de estas vulnerabilidades.

Estos problemas se informaron a través de nuestro Programa de recompensas por detección de vulnerabilidades.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con un código que corrige estas vulnerabilidades en Fluent Bit y para los usuarios de Cloud Service Mesh administrado. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tu clúster y tus grupos de nodos a una de las siguientes versiones GKE o posteriores:

• 1.25.16-gke.1020000
• 1.26.10-gke.1235000
• 1.27.7-gke.1293000
• 1.28.4-gke.1083000

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico

Si tu clúster usa Cloud Service Mesh integrado, debes actualizarlo de forma manual a una de las siguientes versiones (notas de la versión):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

¿Qué vulnerabilidades trata este parche?

Las vulnerabilidades que aborda este boletín requieren que un atacante comprometa el contenedor de registro de Fluent Bit. No tenemos conocimiento de ninguna vulnerabilidad existente en Fluent Bit que genere esta condición previa para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de endurecimiento para evitar una posible cadena de ataque completa en el futuro.

GKE usa Fluent Bit para procesar registros de cargas de trabajo que se ejecutan en clústeres. Fluent Bit en GKE también se configuró para recopilar registros de las cargas de trabajo de Cloud Run. El activador de volumen configurado para recopilar esos registros le otorgó a Fluent Bit acceso a los tokens de cuenta de servicio de Kubernetes para otros pods que se ejecutan en el nodo. El investigador usó este acceso para descubrir un token de cuenta de servicio con privilegios altos para los clústeres que tienen habilitado Cloud Service Mesh.

Cloud Service Mesh requería privilegios elevados para realizar las modificaciones necesarias en la configuración de un clúster, incluida la capacidad de crear y borrar pods. El investigador usó el token de cuenta de servicio de Kubernetes con privilegios de Cloud Service Mesh para derivar sus privilegios comprometidos iniciales creando un pod nuevo con privilegios de administrador de clúster.

Quitamos el acceso de Fluent Bit a los tokens de la cuenta de servicio y rediseñámos la funcionalidad de Cloud Service Mesh para quitar los privilegios excesivos.

Solo se ven afectados los clústeres de GKE en VMware que usan Cloud Service Mesh.

¿Qué debo hacer?

Si tu clúster usa Cloud Service Mesh integrado, debes actualizarlo de forma manual a una de las siguientes versiones (notas de la versión):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

¿Qué vulnerabilidades trata este parche?

Las vulnerabilidades que aborda este boletín requieren que un atacante primero viole o rompa un contenedor o tenga acceso raíz en un nodo de clúster. No tenemos conocimiento de ninguna vulnerabilidad existente que genere esta condición previa para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de endurecimiento para evitar una posible cadena de ataque completa en el futuro.

Cloud Service Mesh requería privilegios elevados para realizar las modificaciones necesarias en la configuración de un clúster, incluida la capacidad de crear y borrar pods. El investigador usó el token de cuenta de servicio de Kubernetes con privilegios de Cloud Service Mesh para derivar sus privilegios comprometidos iniciales creando un pod nuevo con privilegios de administrador de clúster.

Redefinimos la funcionalidad de Cloud Service Mesh para quitar privilegios excesivos.

Solo se ven afectados los clústeres de GKE on AWS que usan Cloud Service Mesh.

¿Qué debo hacer?

Si tu clúster usa Cloud Service Mesh integrado en el clúster, debes actualizarlo de forma manual a una de las siguientes versiones (notas de la versión):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

¿Qué vulnerabilidades trata este parche?

Las vulnerabilidades que aborda este boletín requieren que un atacante primero viole o rompa un contenedor o tenga acceso raíz en un nodo de clúster. No tenemos conocimiento de ninguna vulnerabilidad existente que genere esta condición previa para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de endurecimiento para evitar una posible cadena de ataque completa en el futuro.

Cloud Service Mesh requería privilegios elevados para realizar las modificaciones necesarias en la configuración de un clúster, incluida la capacidad de crear y borrar pods. El investigador usó el token de cuenta de servicio de Kubernetes con privilegios de Cloud Service Mesh para derivar sus privilegios comprometidos iniciales creando un pod nuevo con privilegios de administrador de clúster.

Redefinimos la funcionalidad de Cloud Service Mesh para quitar privilegios excesivos.

Solo se ven afectados los clústeres de GKE en Azure que usan Cloud Service Mesh.

¿Qué debo hacer?

Si tu clúster usa Cloud Service Mesh integrado en el clúster, debes actualizarlo de forma manual a una de las siguientes versiones (notas de la versión):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

¿Qué vulnerabilidades trata este parche?

Las vulnerabilidades que aborda este boletín requieren que un atacante primero viole o rompa un contenedor o tenga acceso raíz en un nodo de clúster. No tenemos conocimiento de ninguna vulnerabilidad existente que genere esta condición previa para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de endurecimiento para evitar una posible cadena de ataque completa en el futuro.

Cloud Service Mesh requería privilegios elevados para realizar las modificaciones necesarias en la configuración de un clúster, incluida la capacidad de crear y borrar pods. El investigador usó el token de cuenta de servicio de Kubernetes con privilegios de Cloud Service Mesh para derivar sus privilegios comprometidos iniciales creando un pod nuevo con privilegios de administrador de clúster.

Redefinimos la funcionalidad de Cloud Service Mesh para quitar privilegios excesivos.

Solo se ven afectados los clústeres de GKE on Bare Metal que usan Cloud Service Mesh.

¿Qué debo hacer?

Si tu clúster usa Cloud Service Mesh integrado, debes actualizarlo de forma manual a una de las siguientes versiones (notas de la versión):

• 1.17.8-asm.8
• 1.18.6-asm.2
• 1.19.5-asm.4

¿Qué vulnerabilidades trata este parche?

Las vulnerabilidades que aborda este boletín requieren que un atacante primero viole o rompa un contenedor o tenga acceso raíz en un nodo de clúster. No tenemos conocimiento de ninguna vulnerabilidad existente que genere esta condición previa para la elevación de privilegios. Aplicamos parches a estas vulnerabilidades como medidas de endurecimiento para evitar una posible cadena de ataque completa en el futuro.

Anthos Service Mesh requería privilegios elevados para realizar las modificaciones necesarias en la configuración de un clúster, incluida la capacidad de crear y borrar pods. El investigador usó el token de cuenta de servicio de Kubernetes con privilegios de Cloud Service Mesh para derivar sus privilegios comprometidos iniciales creando un pod nuevo con privilegios de administrador de clúster.

Redefinimos la funcionalidad de Cloud Service Mesh para quitar privilegios excesivos.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-5717

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 22/01/2024: Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.24.17-gke.2472000
• 1.25.16-gke.1268000
• 1.26.12-gke.1111000
• 1.27.9-gke.1092000
• 1.28.5-gke.1217000
• 1.29.0-gke.138100

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.24.17-gke.2113000
• 1.25.14-gke.1421000
• 1.25.15-gke.1083000
• 1.26.10-gke.1073000
• 1.27.7-gke.1088000
• 1.28.3-gke.1203000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-5717

¿Qué debo hacer?

Actualización del 04/03/2024: Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a las siguientes versiones o versiones posteriores:

• 1.28.200
• 1.16.5
• 1.15.8

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-5717

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-5717

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-5717

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-5197

Actualización del 21 de diciembre de 2023: En el boletín original, se indicaba que los clústeres de Autopilot se veían afectados, pero esto era incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones de parche o posterior:

• 1.25.13-gke.1002003
• 1.26.9-gke.1514000
• 1.27.6-gke.1513000
• 1.28.2-gke.1164000

Las siguientes versiones secundarias se ven afectadas. Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones de parche o posterior:

• 1.24.16-gke.1005001
• 1.25.13-gke.1002003
• 1.26.9-gke.1548000
• 1.27.7-gke.1039000
• 1.28.3-gke.1061000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-5197

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-5197

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-5197

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-5197

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4147

Los clústeres de GKE Standard se ven afectados. Los clústeres de GKE Autopilot no se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 15/11/2023: Solo debes actualizar a una de las versiones con parche que se enumeran en este boletín si usas esa versión menor en tus nodos. Por ejemplo, si usas la versión 1.27 de GKE, debes actualizar a la versión con parche correspondiente. Sin embargo, si usas la versión 1.24 de GKE, no necesitas actualizar a una versión con parches.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

• 1.27.5-gke.200
• 1.28.2-gke.1157000

Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o una posterior:

• 1.25.14-gke.1421000
• 1.26.9-gke.1437000
• 1.27.6-gke.1248000
• 1.28.2-gke.1157000

Puedes aplicar versiones de parche de canales de versiones más recientes si tu clúster ejecuta la misma versión secundaria en su propio canal de versiones. Esta función te permite proteger tus nodos hasta que la versión con parche se convierta en la predeterminada en tu canal de versiones. Para obtener más información, consulta Ejecuta versiones de parche desde un canal más reciente.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4147

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4147

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4147

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4147

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4004

Actualización del 21 de diciembre de 2023: En el boletín original, se indicaba que los clústeres de Autopilot se veían afectados, pero esto era incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 05/12/2023: Faltaban algunas versiones de GKE. A continuación, se muestra una lista actualizada de las versiones de GKE a las que puedes actualizar tu Container-Optimized OS:

• 1.24.17-gke.200 o superior
• 1.25.13-gke.200 o superior
• 1.26.8-gke.200 o superior
• 1.27.4-gke.2300 o superior
• 1.28.1-gke.1257000 o superior

Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se indican en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se mencionan no se verán afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

• 1.27.4-gke.2300
• 1.28.1-gke.1257000

Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o una posterior:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4004

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4004

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4004

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4004

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4921

Actualización del 21 de diciembre de 2023: En el boletín original, se indicaba que los clústeres de Autopilot se veían afectados, pero esto era incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se indican en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se mencionan no se verán afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o una posterior:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4921

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4921

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4921

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4921

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4623

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se indican en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se mencionan no se verán afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.5-gke.1647000

Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o una posterior:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4623

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4623

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4623

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4623

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4623

Actualización del 21 de diciembre de 2023: En el boletín original, se indicaba que los clústeres de Autopilot se veían afectados, pero esto era incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se indican en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se mencionan no se verán afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

• 1.24.14-gke.1027001
• 1.25.14-gke.1351000
• 1.26.9-gke.1345000
• 1.27.6-gke.1389000

Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o una posterior:

• 1.24.17-gke.2186000
• 1.25.15-gke.1016000
• 1.26.9-gke.1548000
• 1.27.6-gke.1551000
• 1.28.2-gke.1256000

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4623

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4623

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4623

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4623

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4015

Actualización del 21 de diciembre de 2023: En el boletín original, se indicaba que los clústeres de Autopilot se veían afectados, pero esto era incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se indican en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se mencionan no se verán afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

• 1.27.5-gke.1647000

Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o una posterior:

• 1.24.14-gke.1027001
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.1-gke.1050000

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4015

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4015

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4015

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4015

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Actualización del 21 de diciembre de 2023: En el boletín original, se indicaba que los clústeres de Autopilot se veían afectados, pero esto era incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se indican en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se mencionan no se verán afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

• 1.24.14-gke.1027001
• 1.25.13-gke.1008000
• 1.26.8-gke.1647000
• 1.27.5-gke.200

Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o una posterior:

• 1.24.14-gke.1027001
• 1.25.13-gke.1706000
• 1.26.8-gke.1647000
• 1.27.5-gke.1648000
• 1.28.1-gke.1050000

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3777

Actualización del 21 de diciembre de 2023: En el boletín original, se indicaba que los clústeres de Autopilot se veían afectados, pero esto era incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN. Las cargas de trabajo de GKE Sandbox tampoco se ven afectadas.

Los clústeres de Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox se ven afectados.

¿Qué debo hacer?

Actualización del 21/11/2023: Solo debes actualizar a una de las versiones de parche que se indican en este boletín si usas esa versión secundaria en tus nodos. Las versiones secundarias que no se mencionan no se verán afectadas.

Actualiza tus grupos de nodos de Container-Optimized OS a una de las siguientes versiones o una posterior:

• 1.24.16-gke.2200
• 1.25.12-gke.2200
• 1.26.7-gke.2200
• 1.27.4-gke.2300

Actualiza tus grupos de nodos de Ubuntu a una de las siguientes versiones o una posterior:

• 1.24.17-gke.700
• 1.25.13-gke.700
• 1.26.8-gke.700
• 1.27.5-gke.700
• 1.28.0-gke.100

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3777

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3777

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3777

¿Qué debo hacer?

Las siguientes vulnerabilidades se descubrieron en el kernel de Linux que pueden generar una elevación de privilegios en los nodos de Container-Optimized OS y Ubuntu.

• CVE-2023-3777

¿Qué debo hacer?

No es necesario que realices ninguna acción. GKE on Bare Metal no se ve afectado, ya que no agrupa un sistema operativo en su distribución.

Hace poco tiempo, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Google Kubernetes Engine (GKE). Los clústeres de GKE con redes autorizadas configuradas están protegidos por el límite de acceso a la red, pero todos los demás clústeres se ven afectados.

¿Qué debo hacer?

Actualización del 09/11/2023: Lanzamos versiones nuevas de GKE que incluyen los parches de seguridad de Go y Kubernetes, a los que puedes actualizar tus clústeres ahora. En las próximas semanas, lanzaremos cambios adicionales al plano de control de GKE para mitigar aún más este problema.

Las siguientes versiones de GKE se actualizaron con parches para CVE-2023-44487 y CVE-2023-39325:

• 1.24.17-gke.2155000
• 1.25.14-gke.1474000
• 1.26.10-gke.1024000
• 1.27.7-gke.1038000
• 1.28.3-gke.1090000

Te recomendamos que apliques la siguiente mitigación lo antes posible y que actualices a la versión más reciente con parches cuando esté disponible.

Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, compilaremos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y crearemos una versión de GKE con parches. Una vez que la versión de GKE esté disponible, actualizaremos este boletín con orientación sobre a qué versión actualizar tu plano de control y también haremos que los parches sean visibles en la postura de seguridad de GKE cuando estén disponibles para tu clúster. Para recibir una notificación de Pub/Sub cuando un parche esté disponible para tu canal, habilita las notificaciones de clústeres.

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

Para mitigar el problema, configura redes autorizadas para el acceso al plano de control:

Puedes agregar redes autorizadas para clústeres existentes. Para obtener más información, consulta red autorizada para clústeres existentes.

Además de las redes autorizadas que agregues, hay direcciones IP predeterminadas que pueden acceder al plano de control de GKE. Para obtener más información sobre estas direcciones, consulta Acceso a los extremos del plano de control. En los siguientes elementos, se resume el aislamiento del clúster:

• Los clústeres privados con --master-authorized-networks y los clústeres basados en PSC con --master-authorized-networks y --no-enable-google-cloud configurados son los más aislados.
• Además, se puede acceder a los clústeres públicos heredados con --master-authorized-networks y a los clústeres basados en PSC con --master-authorized-networks y --enable-google-cloud (predeterminado) configurados de la siguiente manera:
  • Direcciones IP públicas de todas las VMs de Compute Engine en Google Cloud
  • Direcciones IP de la plataforma de Google Cloud

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-44487, permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de GKE.

Hace poco tiempo, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Kubernetes. GKE en VMware crea clústeres privados de Kubernetes a los que no se puede acceder directamente a través de Internet de forma predeterminada, y están protegidos de esta vulnerabilidad.

¿Qué debo hacer?

Actualización del 14/02/2024: Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres a las siguientes versiones de parche o versiones posteriores:

• 1.28.100
• 1.16.6
• 1.15.8

Si configuraste tus clústeres de Kubernetes en VMware GKE para que tenga acceso directo a Internet o a otras redes no confiables, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso.

Te recomendamos que actualices a la versión de parche más reciente, cuando esté disponible, lo antes posible.

Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, compilaremos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y crearemos una versión de GKE con parches. Una vez que la versión de GKE esté disponible, actualizaremos este boletín con orientación sobre a qué versión debes actualizar tu plano de control.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-44487, permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de Kubernetes.

Hace poco tiempo, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Kubernetes. GKE en AWS crea clústeres privados de Kubernetes a los que no se puede acceder directamente a través de Internet de forma predeterminada, y están protegidos de esta vulnerabilidad.

¿Qué debo hacer?

Actualización del 20/03/2024: Las siguientes versiones de GKE en AWS se actualizaron con parches para CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Si configuraste GKE en AWS para que tenga acceso directo a Internet o a otras redes no confiables, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso.

Te recomendamos que actualices a la versión de parche más reciente, cuando esté disponible, lo antes posible.

Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, compilaremos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y crearemos una versión de GKE con parches. Una vez que la versión de GKE esté disponible, actualizaremos este boletín con orientación sobre a qué versión debes actualizar tu plano de control.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-44487, permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de Kubernetes.

Hace poco tiempo, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Kubernetes. GKE en Azure crea clústeres privados de Kubernetes a los que no se puede acceder directamente a través de Internet de forma predeterminada, y están protegidos de esta vulnerabilidad.

¿Qué debo hacer?

Actualización del 20/03/2024: Las siguientes versiones de GKE en Azure se actualizaron con parches para la CVE-2023-44487:

• 1.26.10-gke.600
• 1.27.7-gke.600
• 1.28.3-gke.700

Si configuraste GKE en Azure para que tenga acceso directo a Internet o a otras redes no confiables, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso.

Te recomendamos que actualices a la versión de parche más reciente, cuando esté disponible, lo antes posible.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-44487, permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de Kubernetes.

Hace poco tiempo, se descubrió una vulnerabilidad de denegación del servicio (DoS) en varias implementaciones del protocolo HTTP/2 (CVE-2023-44487), incluido el servidor HTTP de Golang que usa Kubernetes. La vulnerabilidad podría provocar un DoS del plano de control de Kubernetes. Anthos en Bare Metal crea clústeres de Kubernetes a los que no se puede acceder directamente a través de Internet de forma predeterminada, y están protegidos de esta vulnerabilidad.

¿Qué debo hacer?

Si configuraste tus clústeres de Kubernetes de Anthos en Bare Metal para que tengan acceso directo a Internet o a otras redes no confiables, te recomendamos trabajar con tu administrador de firewall para bloquear o limitar ese acceso. Para obtener más información, consulta la descripción general de la seguridad de GKE on Bare Metal.

Te recomendamos que actualices a la versión de parche más reciente, cuando esté disponible, lo antes posible.

Los parches de Golang se lanzarán el 10 de octubre. Una vez que esté disponible, compilaremos y calificaremos un nuevo servidor de la API de Kubernetes con esos parches y crearemos una versión de GKE con parches. Una vez que la versión de GKE esté disponible, actualizaremos este boletín con orientación sobre a qué versión debes actualizar tu plano de control.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-44487, permite que un atacante ejecute un ataque de denegación del servicio en los nodos del plano de control de Kubernetes.

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes en las que un usuario que puede crear pods en nodos de Windows puede elevar los privilegios de administrador en esos nodos. Estas vulnerabilidades afectan a las versiones de Windows de Kubelet y al proxy de CSI de Kubernetes.

Los clústeres de GKE solo se ven afectados si incluyen nodos de Windows.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con un código para corregir esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

• 1.24.17-gke.200
• 1.25.13-gke.200
• 1.26.8-gke.200
• 1.27.5-gke.200
• 1.28.1-gke.200

El plano de control de GKE se actualizará la semana del 04/09/2023 para actualizar el csi-proxy a la versión 1.1.3. Si actualizas tus nodos antes de la actualización del plano de control, deberás volver a actualizarlos después de la actualización para aprovechar el nuevo proxy. Para volver a actualizar los nodos, incluso sin cambiar la versión, ejecuta el comando gcloud container clusters upgrade y pasa la marca --cluster-version con la misma versión de GKE que el grupo de nodos ya ejecuta. Para usar esta solución alternativa, debes usar la gcloud CLI. Ten en cuenta que esto provocará una actualización independientemente de los períodos de mantenimiento.

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades trata este parche?

Con el CVE-2023-3676, un agente malicioso podría crear una especificación de Pod con cadenas de ruta de acceso del host que contengan comandos de PowerShell. Kubelet carece de limpieza de entradas y pasa esta cadena de ruta de acceso creada al ejecutor de comandos como un argumento en el que ejecutaría partes de la cadena como comandos separados. Estos comandos se ejecutarían con los mismos privilegios administrativos que tiene Kubelet.

Con CVE-2023-3955, Kubelet otorga a los usuarios que pueden crear pods la capacidad de ejecutar código con el mismo nivel de permiso que el agente de Kubelet, permisos de privilegio.

Con CVE-2023-3893, una falta similar de limpieza de entradas permite que un usuario que puede crear pods en nodos de Windows que ejecutan kubernetes-csi-proxy escale a privilegios de administrador en esos nodos.

Los registros de auditoría de Kubernetes se pueden usar para detectar si se está aprovechando esta vulnerabilidad. Los eventos de creación de Pods con comandos de PowerShell incorporados son un gran indicador de explotación. Los ConfigMaps y los secretos que contienen comandos de PowerShell incorporados y que se activan en Pods también son un gran indicador de explotación.

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes en las que un usuario que puede crear pods en nodos de Windows puede elevar los privilegios de administrador en esos nodos. Estas vulnerabilidades afectan a las versiones de Windows de Kubelet y al proxy de CSI de Kubernetes.

Los clústeres solo se ven afectados si incluyen nodos de Windows.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

Con el CVE-2023-3676, un agente malicioso podría crear una especificación de Pod con cadenas de ruta de acceso del host que contengan comandos de PowerShell. Kubelet carece de limpieza de entradas y pasa esta cadena de ruta de acceso creada al ejecutor de comandos como un argumento en el que ejecutaría partes de la cadena como comandos separados. Estos comandos se ejecutarían con los mismos privilegios de administrador que tiene Kubelet.

Con CVE-2023-3955, Kubelet otorga a los usuarios que pueden crear pods la capacidad de ejecutar código con el mismo nivel de permiso que el agente de Kubelet, permisos de privilegio.

Con CVE-2023-3893, una falta similar de limpieza de entradas permite que un usuario que puede crear pods en nodos de Windows que ejecutan kubernetes-csi-proxy escale a privilegios de administrador en esos nodos.

Los registros de auditoría de Kubernetes se pueden usar para detectar si se está aprovechando esta vulnerabilidad. Los eventos de creación de Pods con comandos de PowerShell incorporados son un gran indicador de explotación. Los ConfigMaps y los secretos que contienen comandos de PowerShell incorporados y que se activan en Pods también son un gran indicador de explotación.

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes en las que un usuario que puede crear pods en nodos de Windows puede elevar los privilegios de administrador en esos nodos. Estas vulnerabilidades afectan a las versiones de Windows de Kubelet y al proxy de CSI de Kubernetes.

¿Qué debo hacer?

GKE en AWS no se ve afectado por estos CVE. No es necesario que realices ninguna acción.

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes en las que un usuario que puede crear pods en nodos de Windows puede elevar los privilegios de administrador en esos nodos. Estas vulnerabilidades afectan a las versiones de Windows de Kubelet y al proxy de CSI de Kubernetes.

¿Qué debo hacer?

GKE en Azure no se ve afectado por estos CVE. No es necesario que realices ninguna acción.

Se descubrieron tres vulnerabilidades (CVE-2023-3676, CVE-2023-3955 y CVE-2023-3893) en Kubernetes en las que un usuario que puede crear pods en nodos de Windows puede elevar los privilegios de administrador en esos nodos. Estas vulnerabilidades afectan a las versiones de Windows de Kubelet y al proxy de CSI de Kubernetes.

¿Qué debo hacer?

GKE on Bare Metal no se ve afectado por estos CVE. No es necesario que realices ninguna acción.

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de Autopilot de GKE se ven afectados porque los nodos de Autopilot de GKE siempre usan imágenes de nodo de Container-Optimized OS. Los clústeres de GKE Standard con versiones 1.25 o posteriores que ejecutan imágenes de nodo de Container-Optimized OS se ven afectados.

Los clústeres de GKE no se ven afectados si solo ejecutan imágenes de nodos de Ubuntu, versiones anteriores a la 1.25 o GKE Sandbox.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con un código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

• 1.25.9-gke.1400
• 1.26.4-gke.1500
• 1.27.1-gke.2400

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades se abordan?

Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación.

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE en VMware se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades se abordan?

Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación.

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE en AWS se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación.

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE en Azure se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

Con CVE-2023-2235, la función perf_group_detach no verificó el estado de los elementos del mismo nivel del evento antes de llamar a add_event_to_groups(), pero remove_on_exec permitió llamar a list_del_event() antes de desconectarlo de su grupo, lo que permitió usar un puntero colgante que causa una vulnerabilidad de uso después de la liberación.

Se descubrió una nueva vulnerabilidad (CVE-2023-2235) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo.

Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta CVE.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE, incluidos los de Autopilot, se ven afectados.

Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 11/7/2023: Las versiones de parche de Ubuntu están disponibles.

Las siguientes versiones de GKE se actualizaron para incluir las versiones más recientes de Ubuntu que aplican parches a CVE-2023-31436:

• 1.23.17-gke.8200
• 1.24.14-gke.2600
• 1.25.10-gke.2700
• 1.26.5-gke.2700
• 1.27.2-gke.2700

Las siguientes versiones de GKE se actualizaron con un código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

• 1.22.17-gke.11400
• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200
• 1.27.2-gke.1200

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades se abordan?

Con CVE-2023-31436, se encontró una falla de acceso de memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la forma en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red que se usa como lmax. Este defecto permite que un usuario local cause una falla o, potencialmente, escale sus privilegios en el sistema.

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE en VMware se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades se abordan?

Con CVE-2023-31436, se encontró una falla de acceso de memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la forma en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red que se usa como lmax. Este defecto permite que un usuario local cause una falla o, potencialmente, escale sus privilegios en el sistema.

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE en AWS se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

Con CVE-2023-31436, se encontró una falla de acceso de memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la forma en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red que se usa como lmax. Este defecto permite que un usuario local cause una falla o, potencialmente, escale sus privilegios en el sistema.

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo. Los clústeres de GKE en Azure se ven afectados.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

Con CVE-2023-31436, se encontró una falla de acceso de memoria fuera de los límites en el subsistema de control de tráfico (QoS) del kernel de Linux en la forma en que un usuario activa la función qfq_change_class con un valor de MTU incorrecto del dispositivo de red que se usa como lmax. Este defecto permite que un usuario local cause una falla o, potencialmente, escale sus privilegios en el sistema.

Se descubrió una nueva vulnerabilidad (CVE-2023-31436) en el kernel de Linux que puede provocar una elevación de privilegios en el nodo.

Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta CVE.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

Se descubrieron varias vulnerabilidades en Envoy, que se usa en Cloud Service Mesh (ASM). Se informaron por separado como GCP-2023-002.

GKE no se envía con ASM y no se ve afectado por estas vulnerabilidades.

¿Qué debo hacer?

Si instalaste ASM por separado para tus clústeres de GKE, consulta GCP-2023-002.

Se descubrieron diferentes vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) en Envoy, que se usa en Cloud Service Mesh en GKE en VMware, lo que permite que un atacante malicioso provoque una denegación del servicio o una falla de Envoy. Se informaron por separado como GCP-2023-002, pero queremos asegurarnos de que los clientes de GKE Enterprise actualicen sus versiones que incluyen ASM.

¿Qué debo hacer?

Las siguientes versiones de GKE en VMware se actualizaron con un código que corrige esta vulnerabilidad. Te recomendamos actualizar los clústeres de administrador y de usuario a una de las siguientes versiones de GKE en VMware:

• 1.13.8
• 1.14.5
• 1.15.1

¿Qué vulnerabilidades trata este parche?

CVE-2023-27496: Si Envoy se ejecuta con el filtro de OAuth habilitado y expuesto, un agente malicioso podría crear una solicitud que causaría una denegación del servicio haciendo que Envoy falle.

CVE-2023-27488: Los atacantes pueden usar esta vulnerabilidad para omitir las verificaciones de autenticación cuando se usa ext_authz.

CVE-2023-27493: La configuración de Envoy también debe incluir una opción para agregar encabezados de la solicitud que se generaron con entradas de la solicitud, como la SAN del certificado del par.

CVE-2023-27492: Los atacantes pueden enviar cuerpo de la solicitud grandes para rutas que tienen habilitado el filtro de Lua y activar fallas.

CVE-2023-27491: Los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 diseñadas específicamente para activar errores de análisis en el servicio upstream HTTP/1.

CVE-2023-27487: El encabezado x-envoy-original-path debe ser un encabezado interno, pero Envoy no lo quita de la solicitud al comienzo del procesamiento de la solicitud cuando se envía desde un cliente no confiable.

Se descubrieron diferentes vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) en Envoy, que se usa en Cloud Service Mesh. Se informaron por separado como GCP-2023-002.

GKE en AWS no se envía con ASM y no se ve afectado.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

Se descubrieron diferentes vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) en Envoy, que se usa en Cloud Service Mesh. Se informaron por separado como GCP-2023-002.

GKE en Azure no se envía con ASM y no se ve afectado.

¿Qué debo hacer?

No es necesario que realices ninguna acción.

Se descubrieron diferentes vulnerabilidades (CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487) en Envoy, que se usa en Cloud Service Mesh en GKE on Bare Metal, lo que permite que un atacante malicioso provoque una denegación del servicio o una falla de Envoy. Se informaron por separado como GCP-2023-002, pero queremos asegurarnos de que los clientes de GKE Enterprise actualicen sus versiones que incluyen ASM.

¿Qué debo hacer?

Las siguientes versiones de Anthos en Bare Metal se actualizaron con un código para corregir esta vulnerabilidad. Te recomendamos actualizar los clústeres de administrador y de usuario a una de las siguientes versiones de GKE on Bare Metal:

• 1.13.9
• 1.14.6
• 1.15.2

¿Qué vulnerabilidades trata este parche?

CVE-2023-27496: Si Envoy se ejecuta con el filtro de OAuth habilitado y expuesto, un agente malicioso podría crear una solicitud que causaría una denegación del servicio haciendo que Envoy falle.

CVE-2023-27488: Los atacantes pueden usar esta vulnerabilidad para omitir las verificaciones de autenticación cuando se usa ext_authz.

CVE-2023-27493: La configuración de Envoy también debe incluir una opción para agregar encabezados de la solicitud que se generaron con entradas de la solicitud, como la SAN del certificado del par.

CVE-2023-27492: Los atacantes pueden enviar cuerpo de la solicitud grandes para rutas que tienen habilitado el filtro de Lua y activar fallas.

CVE-2023-27491: Los atacantes pueden enviar solicitudes HTTP/2 o HTTP/3 diseñadas específicamente para activar errores de análisis en el servicio upstream HTTP/1.

CVE-2023-27487: El encabezado x-envoy-original-path debe ser un encabezado interno, pero Envoy no lo quita de la solicitud al comienzo del procesamiento de la solicitud cuando se envía desde un cliente no confiable.

Se descubrió una nueva vulnerabilidad (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo. Los clústeres de GKE, incluidos los de Autopilot, se ven afectados.

Los clústeres de GKE que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con un código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

• 1.25.7-gke.1200
• 1.26.2-gke.1200

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades se abordan?

En CVE-2023-0468, se encontró una falla de uso después de la liberación en io_uring/poll.c en io_poll_check_events en el subcomponente io_uring del kernel de Linux. Esta falla puede provocar una eliminación de referencia de puntero NULL y una posible falla del sistema que provoque la denegación del servicio.

Se descubrió una nueva vulnerabilidad (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo.

GKE en VMware usa la versión 5.4 del kernel de Linux y no se ve afectado por este CVE.

¿Qué debo hacer?

• No se requiere ninguna acción

Se descubrió una nueva vulnerabilidad (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo.

GKE en AWS no se ve afectado por este CVE.

¿Qué debo hacer?

• No se requiere ninguna acción

Se descubrió una nueva vulnerabilidad (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo.

GKE en Azure no se ve afectado por este CVE.

¿Qué debo hacer?

• No se requiere ninguna acción

Se descubrió una nueva vulnerabilidad (CVE-2023-0468) en la versión 5.15 del kernel de Linux que puede provocar una denegación del servicio en el nodo.

Google Distributed Cloud Virtual para Bare Metal no se ve afectado por esta CVE.

¿Qué debo hacer?

• No se requiere ninguna acción

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios pueden iniciar contenedores que omiten las restricciones de políticas cuando usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728).

GKE no usa ImagePolicyWebhook y no se ve afectado por el CVE-2023-2727.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con un código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

• 1.27.2-gke.1200
• 1.26.5-gke.1200
• 1.25.10-gke.1200
• 1.24.14-gke.1200
• 1.23.17-gke.6800

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades se abordan?

Con el CVE-2023-2727, es posible que los usuarios puedan iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si se usa el complemento de admisión ImagePolicyWebhook junto con contenedores efímeros. Este CVE también se puede mitigar con webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones.

En el CVE-2023-2728, es posible que los usuarios puedan iniciar contenedores que omitan la política de secretos activables que aplica el complemento de admisión de ServiceAccount cuando se usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Los clústeres se ven afectados por esta vulnerabilidad en los siguientes casos:

• Se usa el complemento de admisión de ServiceAccount.
• Una cuenta de servicio usa la anotación kubernetes.io/enforce-mountable-secrets. Esta anotación no se agrega de forma predeterminada.
• Los pods usan contenedores efímeros.

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728) Anthos en VMware no usa ImagePolicyWebhook y no se ve afectado por CVE-2023-2727.

Todas las versiones de Anthos en VMware son potencialmente vulnerables a la CVE-2023-2728.

¿Qué debo hacer?

Actualización del 11/08/2023: Las siguientes versiones de GKE en VMware se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus clústeres de administrador y de usuario a una de las siguientes versiones de GKE en VMware:

• 1.13.10
• 1.14.6
• 1.15.3

¿Qué vulnerabilidades se abordan?

Con el CVE-2023-2727, es posible que los usuarios puedan iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si se usa el complemento de admisión ImagePolicyWebhook junto con contenedores efímeros. Este CVE también se puede mitigar con webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones.

En el CVE-2023-2728, es posible que los usuarios puedan iniciar contenedores que omitan la política de secretos activables que aplica el complemento de admisión de ServiceAccount cuando se usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Los clústeres se ven afectados por esta vulnerabilidad en los siguientes casos:

• Se usa el complemento de admisión de ServiceAccount.
• Una cuenta de servicio usa la anotación kubernetes.io/enforce-mountable-secrets. Esta anotación no se agrega de forma predeterminada.
• Los pods usan contenedores efímeros.

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728)
Anthos en AWS no usa ImagePolicyWebhook y no se ve afectado por la CVE-2023-2727.
Todas las versiones de Anthos en AWS son potencialmente vulnerables a la CVE-2023-2728.

¿Qué debo hacer?

Actualización del 11/08/2023: La siguiente versión de GKE en AWS se actualizó con código para corregir esta vulnerabilidad. Actualiza tus nodos a la siguiente versión de GKE en AWS:

• 1.15.2

¿Qué vulnerabilidades se abordan?

Con el CVE-2023-2727, es posible que los usuarios puedan iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si se usa el complemento de admisión ImagePolicyWebhook junto con contenedores efímeros. Este CVE también se puede mitigar con webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones.

En el CVE-2023-2728, es posible que los usuarios puedan iniciar contenedores que omitan la política de secretos activables que aplica el complemento de admisión de ServiceAccount cuando se usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Los clústeres se ven afectados por esta vulnerabilidad en los siguientes casos:

• Se usa el complemento de admisión de ServiceAccount.
• Una cuenta de servicio usa la anotación kubernetes.io/enforce-mountable-secrets. Esta anotación no se agrega de forma predeterminada.
• Los pods usan contenedores efímeros.

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728)
Anthos en Azure no usa ImagePolicyWebhook y no se ve afectado por la CVE-2023-2727.
Todas las versiones de Anthos en Azure pueden ser vulnerables a la CVE-2023-2728.

¿Qué debo hacer?

Actualización del 11/08/2023: La siguiente versión de GKE en Azure se actualizó con código para corregir esta vulnerabilidad. Actualiza tus nodos a la siguiente versión de GKE en Azure:

• 1.15.2

¿Qué vulnerabilidades se abordan?

Con el CVE-2023-2727, es posible que los usuarios puedan iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si se usa el complemento de admisión ImagePolicyWebhook junto con contenedores efímeros. Este CVE también se puede mitigar con webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones.

En el CVE-2023-2728, es posible que los usuarios puedan iniciar contenedores que omitan la política de secretos activables que aplica el complemento de admisión de ServiceAccount cuando se usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Los clústeres se ven afectados por esta vulnerabilidad en los siguientes casos:

• Se usa el complemento de admisión de ServiceAccount.
• Una cuenta de servicio usa la anotación kubernetes.io/enforce-mountable-secrets. Esta anotación no se agrega de forma predeterminada.
• Los pods usan contenedores efímeros.

Se descubrieron dos problemas de seguridad nuevos en Kubernetes en los que los usuarios podrían iniciar contenedores que omiten las restricciones de políticas cuando se usan contenedores efímeros y ImagePolicyWebhook (CVE-2023-2727) o el complemento de admisión de ServiceAccount (CVE-2023-2728)
Anthos en Bare Metal no usa ImagePolicyWebhook y no se ve afectado por la CVE-2023-2727.
Todas las versiones de Anthos en Bare Metal son potencialmente vulnerables a CVE-2023-2728.

¿Qué debo hacer?

Actualización del 11/08/2023: Las siguientes versiones de Google Distributed Cloud Virtual para Bare Metal se actualizaron con código para corregir esta vulnerabilidad. Actualiza tus nodos a una de las siguientes versiones de Google Distributed Cloud Virtual para Bare Metal:

• 1.13.9
• 1.14.7
• 1.15.3

¿Qué vulnerabilidades se abordan?

Con el CVE-2023-2727, es posible que los usuarios puedan iniciar contenedores con imágenes restringidas por ImagePolicyWebhook cuando usan contenedores efímeros. Los clústeres de Kubernetes solo se ven afectados si se usa el complemento de admisión ImagePolicyWebhook junto con contenedores efímeros. Este CVE también se puede mitigar con webhooks de validación, como Gatekeeper y Kyverno, para aplicar las mismas restricciones.

En el CVE-2023-2728, es posible que los usuarios puedan iniciar contenedores que omitan la política de secretos activables que aplica el complemento de admisión de ServiceAccount cuando se usan contenedores efímeros. La política garantiza que los Pods que se ejecutan con una cuenta de servicio solo puedan hacer referencia a secretos especificados en el campo de secretos de la cuenta de servicio. Los clústeres se ven afectados por esta vulnerabilidad en los siguientes casos:

• Se usa el complemento de admisión de ServiceAccount.
• Una cuenta de servicio usa la anotación kubernetes.io/enforce-mountable-secrets. Esta anotación no se agrega de forma predeterminada.
• Los pods usan contenedores efímeros.

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secrets-store-csi-driver, en la que un actor con acceso a los registros del controlador podría observar tokens de cuenta de servicio. Estos tokens se podrían intercambiar con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de bóvedas en la nube.

GKE no se ve afectado por este CVE.

¿Qué debo hacer?

Si bien GKE no se ve afectado, si instalaste el componente secrets-store-csi-driver, deberías actualizar la instalación con una versión con parche.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-2878, se descubrió en secrets-store-csi-driver, donde un actor con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Estos tokens se podrían intercambiar con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de bóvedas en la nube. Los tokens solo se registran cuando se configura TokenRequests en el objeto CSIDriver y el controlador se configura para ejecutarse en el nivel de registro 2 o superior a través de la marca -v.

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secrets-store-csi-driver, en la que un actor con acceso a los registros del controlador podría observar tokens de cuenta de servicio. Estos tokens se podrían intercambiar con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de bóvedas en la nube.

GKE en VMware no se ve afectado por este CVE.

¿Qué debo hacer?

Si bien GKE en VMware no se ve afectado, si instalaste el componente secrets-store-csi-driver, deberías actualizar la instalación con una versión con parche.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-2878, se descubrió en secrets-store-csi-driver, donde un actor con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Estos tokens se podrían intercambiar con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de bóvedas en la nube. Los tokens solo se registran cuando se configura TokenRequests en el objeto CSIDriver y el controlador se configura para ejecutarse en el nivel de registro 2 o superior a través de la marca -v.

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secrets-store-csi-driver, en la que un actor con acceso a los registros del controlador podría observar tokens de cuenta de servicio. Estos tokens se podrían intercambiar con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de bóvedas en la nube.

GKE en AWS no se ve afectado por este CVE.

¿Qué debo hacer?

Si bien GKE en AWS no se ve afectado, si instalaste el componente secrets-store-csi-driver, debes actualizar la instalación con una versión con parche.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-2878, se descubrió en secrets-store-csi-driver, donde un actor con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Estos tokens se podrían intercambiar con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de bóvedas en la nube. Los tokens solo se registran cuando se configura TokenRequests en el objeto CSIDriver y el controlador se configura para ejecutarse en el nivel de registro 2 o superior a través de la marca -v.

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secrets-store-csi-driver, en la que un actor con acceso a los registros del controlador podría observar tokens de cuenta de servicio. Estos tokens se podrían intercambiar con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de bóvedas en la nube.

GKE en Azure no se ve afectado por este CVE.

¿Qué debo hacer?

Si bien GKE en Azure no se ve afectado, si instalaste el componente secrets-store-csi-driver, deberías actualizar la instalación con una versión con parche.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-2878, se descubrió en secrets-store-csi-driver, donde un actor con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Estos tokens se podrían intercambiar con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de bóvedas en la nube. Los tokens solo se registran cuando se configura TokenRequests en el objeto CSIDriver y el controlador se configura para ejecutarse en el nivel de registro 2 o superior a través de la marca -v.

Se descubrió una nueva vulnerabilidad (CVE-2023-2878) en secrets-store-csi-driver, en la que un actor con acceso a los registros del controlador podría observar tokens de cuenta de servicio. Estos tokens se podrían intercambiar con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de bóvedas en la nube.

GKE on Bare Metal no se ve afectado por este CVE.

¿Qué debo hacer?

Si bien GKE on Bare Metal no se ve afectado, si instalaste el componente secrets-store-csi-driver, deberías actualizar la instalación con una versión con parche.

¿Qué vulnerabilidades trata este parche?

La vulnerabilidad, CVE-2023-2878, se descubrió en secrets-store-csi-driver, donde un actor con acceso a los registros del controlador podía observar los tokens de la cuenta de servicio. Estos tokens se podrían intercambiar con proveedores de servicios en la nube externos para acceder a secretos almacenados en soluciones de bóvedas en la nube. Los tokens solo se registran cuando se configura TokenRequests en el objeto CSIDriver y el controlador se configura para ejecutarse en el nivel de registro 2 o superior a través de la marca -v.

Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede provocar una elevación de privilegios a raíz en el nodo. Los clústeres de GKE Standard y Autopilot se ven afectados.

Los clústeres que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con un código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

• 1.22.17-gke.11400
• 1.23.17-gke.5600
• 1.24.13-gke.2500
• 1.25.9-gke.2300
• 1.26.5-gke.1200

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades trata este parche?

CVE-2023-1872 es una vulnerabilidad de uso después de la liberación en el subsistema io_uring del kernel de Linux que se puede aprovechar para lograr la elevación de privilegios local. La función io_file_get_fixed no tiene ctx->uring_lock, lo que puede generar una vulnerabilidad de uso después de la liberación debido a una condición de carrera con archivos fijos que dejan de registrarse.

Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede provocar una elevación de privilegios a raíz en el nodo.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

CVE-2023-1872 es una vulnerabilidad de uso después de la liberación en el subsistema io_uring del kernel de Linux que se puede aprovechar para lograr la elevación de privilegios local. La función io_file_get_fixed no tiene ctx->uring_lock, lo que puede generar una vulnerabilidad de uso después de la liberación debido a una condición de carrera con archivos fijos que dejan de registrarse.

Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede provocar una elevación de privilegios a raíz en el nodo.

¿Qué debo hacer?

Las siguientes versiones de GKE en AWS se actualizaron con un código que corrige estas vulnerabilidades:

¿Qué vulnerabilidades trata este parche?

CVE-2023-1872 es una vulnerabilidad de uso después de la liberación en el subsistema io_uring del kernel de Linux que se puede aprovechar para lograr la elevación de privilegios local. La función io_file_get_fixed no tiene ctx->uring_lock, lo que puede generar una vulnerabilidad de uso después de la liberación debido a una condición de carrera con archivos fijos que dejan de registrarse.

Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede provocar una elevación de privilegios a raíz en el nodo.

¿Qué debo hacer?

Las siguientes versiones de GKE en Azure se actualizaron con un código que corrige estas vulnerabilidades:

¿Qué vulnerabilidades trata este parche?

CVE-2023-1872 es una vulnerabilidad de uso después de la liberación en el subsistema io_uring del kernel de Linux que se puede aprovechar para lograr la elevación de privilegios local. La función io_file_get_fixed no tiene ctx->uring_lock, lo que puede generar una vulnerabilidad de uso después de la liberación debido a una condición de carrera con archivos fijos que dejan de registrarse.

Se descubrió una nueva vulnerabilidad (CVE-2023-1872) en el kernel de Linux que puede provocar una elevación de privilegios a raíz en el nodo.

GKE on Bare Metal no se ve afectado por este CVE.

¿Qué debo hacer?

No se requiere ninguna acción.

Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux que pueden provocar una elevación de privilegios a raíz en el nodo. Los clústeres de GKE Standard se ven afectados.

Los clústeres de GKE Autopilot y los que usan GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Actualización del 06/06/2023: Hay versiones de parche de Ubuntu disponibles.

Las siguientes versiones de GKE se actualizaron para incluir las versiones más recientes de Ubuntu que aplican parches a CVE-2023-1281 y CVE-2023-1829:

• 1.23.17-gke.6800
• 1.24.14-gke.1200
• 1.25.10-gke.1200
• 1.26.5-gke.1200

Las siguientes versiones de GKE se actualizaron con un código que corrige esta vulnerabilidad. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus clústeres y grupos de nodos a una de las siguientes versiones de GKE:

• 1.22.17-gke.8100
• 1.23.17-gke.2300
• 1.24.12-gke.1100
• 1.25.8-gke.1000
• 1.26.3-gke.1000

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades trata este parche?

CVE-2023-1281 y CVE-2023-1829 son vulnerabilidades de uso después de liberación en el filtro de índice de control de tráfico (tcindex) del kernel de Linux que se pueden aprovechar para lograr una elevación de privilegios local.

Con el CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que puede provocar una liberación doble de una estructura de datos.

En CVE-2023-1281, el área de hash imperfecta se puede actualizar mientras se atraviesan los paquetes, lo que provocará un uso después de la liberación cuando se llame a tcf_exts_exec() con el tcf_ext destruido. Un usuario atacante local puede usar esta vulnerabilidad para elevar sus privilegios a raíz.

Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux que pueden provocar una elevación de privilegios a raíz en el nodo.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

CVE-2023-1281 y CVE-2023-1829 son vulnerabilidades de uso después de liberación en el filtro de índice de control de tráfico (tcindex) del kernel de Linux que se pueden aprovechar para lograr una elevación de privilegios local.

Con el CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que puede provocar una liberación doble de una estructura de datos.

En CVE-2023-1281, el área de hash imperfecta se puede actualizar mientras se atraviesan los paquetes, lo que provocará un uso después de la liberación cuando se llame a tcf_exts_exec() con el tcf_ext destruido. Un usuario atacante local puede usar esta vulnerabilidad para elevar sus privilegios a raíz.

Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux que pueden provocar una elevación de privilegios a raíz en el nodo.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

CVE-2023-1281 y CVE-2023-1829 son vulnerabilidades de uso después de liberación en el filtro de índice de control de tráfico (tcindex) del kernel de Linux que se pueden aprovechar para lograr una elevación de privilegios local.

Con el CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que puede provocar una liberación doble de una estructura de datos.

En CVE-2023-1281, el área de hash imperfecta se puede actualizar mientras se atraviesan los paquetes, lo que provocará un uso después de la liberación cuando se llame a tcf_exts_exec() con el tcf_ext destruido. Un usuario atacante local puede usar esta vulnerabilidad para elevar sus privilegios a raíz.

Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux que pueden provocar una elevación de privilegios a raíz en el nodo.

¿Qué debo hacer?

¿Qué vulnerabilidades trata este parche?

CVE-2023-1281 y CVE-2023-1829 son vulnerabilidades de uso después de liberación en el filtro de índice de control de tráfico (tcindex) del kernel de Linux que se pueden aprovechar para lograr una elevación de privilegios local.

Con el CVE-2023-1829, la función tcindex_delete no desactiva correctamente los filtros en ciertos casos, lo que puede provocar una liberación doble de una estructura de datos.

En CVE-2023-1281, el área de hash imperfecta se puede actualizar mientras se atraviesan los paquetes, lo que provocará un uso después de la liberación cuando se llame a tcf_exts_exec() con el tcf_ext destruido. Un usuario atacante local puede usar esta vulnerabilidad para elevar sus privilegios a raíz.

Se descubrieron dos vulnerabilidades nuevas (CVE-2023-1281 y CVE-2023-1829) en el kernel de Linux que pueden provocar una elevación de privilegios a raíz en el nodo.

GKE on Bare Metal no se ve afectado por esta CVE.

¿Qué debo hacer?

No se requiere ninguna acción.

Actualización del 21 de diciembre de 2023: En el boletín original, se indicaba que los clústeres de Autopilot se veían afectados, pero esto era incorrecto. Los clústeres de GKE Autopilot en la configuración predeterminada no se ven afectados, pero podrían ser vulnerables si configuras de forma explícita el perfil Unconfined de seccomp o permites CAP_NET_ADMIN.

Se descubrieron dos vulnerabilidades nuevas, CVE-2023-0240 y CVE-2023-23586, en el kernel de Linux que podrían permitir que un usuario sin privilegios escale privilegios. Los clústeres de GKE, incluidos los de Autopilot, con COS que usan la versión 5.10 del kernel de Linux hasta la 5.10.162 se ven afectados. Los clústeres de GKE que usan imágenes de Ubuntu o GKE Sandbox no se ven afectados.

¿Qué debo hacer?

Las siguientes versiones de GKE se actualizaron con el código que corrige estas vulnerabilidades. Por motivos de seguridad, incluso si tienes habilitada la actualización automática de nodos, te recomendamos que actualices de forma manual tus grupos de nodos a una de las siguientes versiones de GKE:

• 1.22.17-gke.4000
• 1.23.16-gke.1100
• 1.24.10-gke.1200

Una característica reciente de los canales de versiones te permite aplicar un parche sin tener que anular la suscripción a un canal. Esto te permite proteger tus nodos hasta que la nueva versión se convierta en la predeterminada para tu canal de versiones específico.

¿Qué vulnerabilidades trata este parche?

Vulnerabilidad 1 (CVE-2023-0240): Una condición de carrera en io_uring puede provocar un desglose completo del contenedor hasta la raíz en el nodo. Las versiones 5.10 de kernel de Linux se ven afectadas hasta la 5.10.162.

Vulnerabilidad 2 (CVE-2023-23586): Un uso después de liberación (UAF) en io_uring/time_ns puede provocar un desglose completo del contenedor hasta la raíz en el nodo. Las versiones 5.10 de kernel de Linux se ven afectadas hasta la 5.10.162.