Agrega la URL del feed directamente a tu lector de feeds: https://cloud.google.com/feeds/cloudbuild-security-bulletins.xml
GCP-2023-013
Fecha de publicación: 8 de junio de 2023
Descripción
Descripción
Gravedad
Notas
Cuando habilitas la API de Cloud Build en un proyecto,
Cloud Build crea automáticamente una
cuenta de servicio predeterminada para
ejecutar compilaciones en tu nombre. Esta cuenta de servicio heredada de Cloud Build tenía anteriormente el permiso de IAM logging.privateLogEntries.list, que permitía que la compilación tuviera acceso a la lista de registros privados de forma predeterminada.
Este permiso ahora se revocó de la cuenta de servicio de Cloud Build para cumplir con el principio de seguridad de privilegio mínimo.
¿Qué debo hacer?
No es necesario que el usuario realice ninguna otra acción. Se revocó el permiso de IAM logging.privateLogEntries.list de la cuenta de servicio heredada de Cloud Build y se lanzó la corrección.
¿Qué vulnerabilidades corrige este parche?
Esta vulnerabilidad otorga el permiso para crear una lista de registros privados.
Dado que el permiso de IAM logging.privateLogEntries.list se revocó de la cuenta de servicio heredada de Cloud Build, las compilaciones ya no tienen acceso para enumerar registros privados de forma predeterminada.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-03-10 (UTC)"],[[["This page provides information on security bulletins related to Cloud Build."],["The `logging.privateLogEntries.list` IAM permission was previously granted to the Cloud Build default service account, allowing access to private logs, but it has now been revoked."],["The change to remove the logging permission from the Cloud Build service account addresses the vulnerability of builds having access to list private logs by default, adhering to the principle of least privilege."],["No user action is needed as the fix for the Cloud Build service account permission has already been implemented."],["You can subscribe to receive the latest security bulletins by either adding the page's URL or the feed URL to your feed reader."]]],[]]
