Adicione o URL do feed diretamente ao seu leitor de feeds: https://cloud.google.com/feeds/cloudbuild-security-bulletins.xml
GCP-2023-013
Publicado:08/06/2023
Descrição
Descrição
Gravidade
Observações
Quando você ativa a API Cloud Build em um projeto,
o Cloud Build cria automaticamente uma
conta de serviço padrão para
executar builds em seu nome. Essa conta de serviço legada do Cloud Build
tinha a permissão do IAM logging.privateLogEntries.list, que permitia que o build tivesse acesso à lista de registros particulares por padrão.
Essa permissão foi revogada da conta de serviço do Cloud Build
para obedecer ao
princípio de segurança do privilégio mínimo.
O que fazer?
O usuário não precisa fazer mais nada. A permissão logging.privateLogEntries.list
do IAM foi revogada da
conta de serviço legada do Cloud Build, e a correção foi lançada.
Quais vulnerabilidades são corrigidas por esse patch?
Essa vulnerabilidade concede a permissão para listar registros particulares.
Como a permissão IAM logging.privateLogEntries.list
foi revogada da conta de serviço legada do Cloud Build,
os builds não têm mais acesso para listar registros particulares por padrão.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-03-10 UTC."],[[["This page provides information on security bulletins related to Cloud Build."],["The `logging.privateLogEntries.list` IAM permission was previously granted to the Cloud Build default service account, allowing access to private logs, but it has now been revoked."],["The change to remove the logging permission from the Cloud Build service account addresses the vulnerability of builds having access to list private logs by default, adhering to the principle of least privilege."],["No user action is needed as the fix for the Cloud Build service account permission has already been implemented."],["You can subscribe to receive the latest security bulletins by either adding the page's URL or the feed URL to your feed reader."]]],[]]
