Ajoutez directement l'URL du flux à votre lecteur de flux : https://cloud.google.com/feeds/cloudbuild-security-bulletins.xml.
GCP-2023-013
Date de publication:08/06/2023
Description
Description
Gravité
Remarques
Lorsque vous activez l'API Cloud Build dans un projet, Cloud Build crée automatiquement un compte de service par défaut pour exécuter des builds en votre nom. Cet ancien compte de service Cloud Build disposait auparavant de l'autorisation IAM logging.privateLogEntries.list, qui permettait à la compilation d'accéder à la liste des journaux privés par défaut.
Cette autorisation a été révoquée du compte de service Cloud Build pour respecter le principe de sécurité de moindre privilège.
Que dois-je faire ?
Aucune autre action de l'utilisateur n'est requise. L'autorisation IAM logging.privateLogEntries.list a été révoquée du compte de service Cloud Build précédent, et le correctif a été déployé.
Quelles failles ce correctif permet-il de résoudre ?
Cette faille a permis de créer l'autorisation de lister les journaux privés.
Étant donné que l'autorisation IAM logging.privateLogEntries.list a été révoquée de l'ancien compte de service Cloud Build, les builds n'ont plus accès à la liste des journaux privés par défaut.
Faible
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/03/10 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/03/10 (UTC)."],[[["This page provides information on security bulletins related to Cloud Build."],["The `logging.privateLogEntries.list` IAM permission was previously granted to the Cloud Build default service account, allowing access to private logs, but it has now been revoked."],["The change to remove the logging permission from the Cloud Build service account addresses the vulnerability of builds having access to list private logs by default, adhering to the principle of least privilege."],["No user action is needed as the fix for the Cloud Build service account permission has already been implemented."],["You can subscribe to receive the latest security bulletins by either adding the page's URL or the feed URL to your feed reader."]]],[]]
