Aggiungi l'URL del feed direttamente al tuo aggregatore di feed: https://cloud.google.com/feeds/cloudbuild-security-bulletins.xml
GCP-2023-013
Pubblicato il: 08/06/2023
Descrizione
Descrizione
Gravità
Note
Quando attivi l'API Cloud Build in un progetto, Cloud Build crea automaticamente un account di servizio predefinito per eseguire le build per tuo conto. Questo account di servizio Cloud Build legacy precedentemente aveva l'autorizzazione IAM logging.privateLogEntries.list, che consentiva alla build di avere accesso all'elenco dei log privati per impostazione predefinita.
Questa autorizzazione è stata revocata dall'account di servizio Cloud Build per rispettare il principio di sicurezza del privilegio minimo.
Che cosa devo fare?
Non sono necessarie ulteriori azioni da parte dell'utente. L'autorizzazione IAM logging.privateLogEntries.list
è stata revocata dall'account di servizio Cloud Build precedente e la correzione è stata implementata.
Quali vulnerabilità vengono affrontate da questa patch?
Questa vulnerabilità concessa genera l'autorizzazione per elencare i log privati.
Poiché l'autorizzazione IAM logging.privateLogEntries.list è stata revocata dall'account di servizio Cloud Build precedente, per impostazione predefinita le build non hanno più accesso all'elenco dei log privati.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-03-10 UTC."],[[["This page provides information on security bulletins related to Cloud Build."],["The `logging.privateLogEntries.list` IAM permission was previously granted to the Cloud Build default service account, allowing access to private logs, but it has now been revoked."],["The change to remove the logging permission from the Cloud Build service account addresses the vulnerability of builds having access to list private logs by default, adhering to the principle of least privilege."],["No user action is needed as the fix for the Cloud Build service account permission has already been implemented."],["You can subscribe to receive the latest security bulletins by either adding the page's URL or the feed URL to your feed reader."]]],[]]
