Bollettini sulla sicurezza

Di seguito vengono descritti tutti i bollettini sulla sicurezza relativi a Cloud Build.

Per ricevere gli ultimi bollettini sulla sicurezza, procedi in uno dei seguenti modi:

Aggiungi l'URL di questa pagina al tuo lettore di feed.
Aggiungi l'URL del feed direttamente al lettore di feed: https://cloud.google.com/feeds/cloudbuild-security-bulletins.xml

GCP-2023-013

Pubblicato: 08/06/2023

Descrizione

Descrizione Gravità Note

Descrizione	Gravità	Note
Quando abiliti l'API Cloud Build in un progetto, Cloud Build crea automaticamente un account di servizio predefinito per eseguire le build per tuo conto. Questo account di servizio Cloud Build in precedenza disponeva dell'autorizzazione IAM `logging.privateLogEntries.list`, che consentiva alla build di accedere per elencare i log privati per impostazione predefinita. Questa autorizzazione è stata ora revocata dall'account di servizio Cloud Build per ottemperare al principio di sicurezza del privilegio minimo. Che cosa devo fare? Non sono richieste ulteriori azioni da parte dell'utente. L'autorizzazione IAM `logging.privateLogEntries.list` è stata revocata dall'account di servizio Cloud Build e la correzione è stata implementata. Quali vulnerabilità vengono affrontate da questa patch? Questa vulnerabilità ha concesso l'autorizzazione per elencare i log privati. Poiché l'autorizzazione IAM `logging.privateLogEntries.list` è stata revocata dall'account di servizio Cloud Build, le build non hanno più accesso per elencare i log privati per impostazione predefinita.	Bassa

Quando abiliti l'API Cloud Build in un progetto, Cloud Build crea automaticamente un account di servizio predefinito per eseguire le build per tuo conto. Questo account di servizio Cloud Build in precedenza disponeva dell'autorizzazione IAM logging.privateLogEntries.list, che consentiva alla build di accedere per elencare i log privati per impostazione predefinita. Questa autorizzazione è stata ora revocata dall'account di servizio Cloud Build per ottemperare al principio di sicurezza del privilegio minimo.

Che cosa devo fare?

Non sono richieste ulteriori azioni da parte dell'utente. L'autorizzazione IAM logging.privateLogEntries.list è stata revocata dall'account di servizio Cloud Build e la correzione è stata implementata.

Quali vulnerabilità vengono affrontate da questa patch?

Questa vulnerabilità ha concesso l'autorizzazione per elencare i log privati. Poiché l'autorizzazione IAM logging.privateLogEntries.list è stata revocata dall'account di servizio Cloud Build, le build non hanno più accesso per elencare i log privati per impostazione predefinita.

Bassa