Sicherheitsbulletins | Google Security Operations

Diese Seite wurde von der Cloud Translation API übersetzt.

Auf dieser Seite finden Sie alle Sicherheitsbulletins im Zusammenhang mit Google Security Operations.

GCP-2025-049

Veröffentlicht: 04.09.2025

Beschreibung

Beschreibung	Schweregrad	Hinweise
In den Versionen 6.3.54.0 und 6.3.53.2 von Google Security Operations SOAR wurde eine kritische Sicherheitslücke gefunden. Ein authentifizierter Nutzer mit Berechtigungen zum Hochladen von ZIP-Dateien (z. B. beim Importieren von Anwendungsfällen) konnte ein ZIP-Archiv hochladen, mit dem Dateien an beliebige Orte im Dateisystem des Servers geschrieben werden können. Das System zum Extrahieren von Dateien aus ZIP-Archiven konnte nicht verhindern, dass Dateien im Archiv außerhalb des vorgesehenen Zielordners geschrieben wurden. Dies wird auch als Directory Traversal- oder Zip Slip-Sicherheitslücke bezeichnet. Was soll ich tun? Auf Kundenseite sind keine Maßnahmen erforderlich. Alle Kunden wurden automatisch auf die korrigierte Version oder höher aktualisiert: 6.3.54.1 oder 6.3.53.3. Welche Sicherheitslücken werden behoben? Ein Angreifer könnte diese Sicherheitslücke ausnutzen, um Anwendungsdateien zu überschreiben. Durch das Überschreiben einer JavaScript-Datei, die von der Funktion zur Berichterstellung verwendet wird, könnte ein Angreifer Remote Code Execution (RCE) auf der Google SecOps SOAR-Instanz erreichen. Der Angreifer konnte eigenen Code auf dem Server ausführen.	Hoch	CVE-2025-9918

Schweregrad

Hinweise

In den Versionen 6.3.54.0 und 6.3.53.2 von Google Security Operations SOAR wurde eine kritische Sicherheitslücke gefunden. Ein authentifizierter Nutzer mit Berechtigungen zum Hochladen von ZIP-Dateien (z. B. beim Importieren von Anwendungsfällen) konnte ein ZIP-Archiv hochladen, mit dem Dateien an beliebige Orte im Dateisystem des Servers geschrieben werden können.

Das System zum Extrahieren von Dateien aus ZIP-Archiven konnte nicht verhindern, dass Dateien im Archiv außerhalb des vorgesehenen Zielordners geschrieben wurden. Dies wird auch als Directory Traversal- oder Zip Slip-Sicherheitslücke bezeichnet.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Alle Kunden wurden automatisch auf die korrigierte Version oder höher aktualisiert: 6.3.54.1 oder 6.3.53.3.

Welche Sicherheitslücken werden behoben?

Ein Angreifer könnte diese Sicherheitslücke ausnutzen, um Anwendungsdateien zu überschreiben. Durch das Überschreiben einer JavaScript-Datei, die von der Funktion zur Berichterstellung verwendet wird, könnte ein Angreifer Remote Code Execution (RCE) auf der Google SecOps SOAR-Instanz erreichen. Der Angreifer konnte eigenen Code auf dem Server ausführen.

Hoch

CVE-2025-9918

GCP-2023-028

Veröffentlicht: 19.09.2023

Aktualisiert: 29.05.2024

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 29.05.2024: Die neuen Feeds verwenden nicht mehr das freigegebene Dienstkonto. Es bleibt jedoch für bestehende Feeds aktiv, um Dienstunterbrechungen zu vermeiden. Änderungen an der Quelle in älteren Feeds werden blockiert, um einen Missbrauch des freigegebenen Dienstkontos zu verhindern. Kunden können ihre alten Feeds weiterhin wie gewohnt verwenden, solange sie die Quelle nicht ändern. Kunden können Google SecOps so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets über einen Datenaufnahme-Feed aufgenommen werden. Bis vor Kurzem wurde in Google SecOps ein gemeinsames Dienstkonto bereitgestellt, mit dem Kunden dem Bucket Berechtigungen erteilen konnten. Es bestand die Möglichkeit, dass die Google SecOps-Instanz eines Kunden so konfiguriert werden konnte, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen wurden. Nach einer Folgenabschätzung haben wir festgestellt, dass diese Sicherheitslücke derzeit oder in der Vergangenheit nicht ausgenutzt wurde. Die Sicherheitslücke war in allen Versionen von Google SecOps vor dem 19. September 2023 vorhanden. Was soll ich tun? Am 19. September 2023 wurde Google SecOps aktualisiert, um diese Sicherheitslücke zu schließen. Auf Kundenseite sind keine Maßnahmen erforderlich. Welche Sicherheitslücken werden behoben? Bisher stellte Google SecOps ein gemeinsames Dienstkonto zur Verfügung, mit dem Kunden einem Bucket Berechtigungen erteilen konnten. Da verschiedene Kunden demselben Google SecOps-Dienstkonto die Berechtigung für ihren Bucket erteilt haben, gab es einen Exploitation-Vektor, der es dem Feed eines Kunden ermöglichte, auf den Bucket eines anderen Kunden zuzugreifen, wenn ein Feed erstellt oder geändert wurde. Für diesen Exploitation-Vektor war die Kenntnis des Bucket-URI erforderlich. Bei der Erstellung oder Änderung von Feeds verwendet Google SecOps jetzt eindeutige Dienstkonten für jeden Kunden.	Hoch

Schweregrad

Hinweise

Aktualisierung vom 29.05.2024: Die neuen Feeds verwenden nicht mehr das freigegebene Dienstkonto. Es bleibt jedoch für bestehende Feeds aktiv, um Dienstunterbrechungen zu vermeiden. Änderungen an der Quelle in älteren Feeds werden blockiert, um einen Missbrauch des freigegebenen Dienstkontos zu verhindern. Kunden können ihre alten Feeds weiterhin wie gewohnt verwenden, solange sie die Quelle nicht ändern.

Kunden können Google SecOps so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets über einen Datenaufnahme-Feed aufgenommen werden. Bis vor Kurzem wurde in Google SecOps ein gemeinsames Dienstkonto bereitgestellt, mit dem Kunden dem Bucket Berechtigungen erteilen konnten. Es bestand die Möglichkeit, dass die Google SecOps-Instanz eines Kunden so konfiguriert werden konnte, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen wurden. Nach einer Folgenabschätzung haben wir festgestellt, dass diese Sicherheitslücke derzeit oder in der Vergangenheit nicht ausgenutzt wurde. Die Sicherheitslücke war in allen Versionen von Google SecOps vor dem 19. September 2023 vorhanden.

Was soll ich tun?

Am 19. September 2023 wurde Google SecOps aktualisiert, um diese Sicherheitslücke zu schließen. Auf Kundenseite sind keine Maßnahmen erforderlich.

Welche Sicherheitslücken werden behoben?

Bisher stellte Google SecOps ein gemeinsames Dienstkonto zur Verfügung, mit dem Kunden einem Bucket Berechtigungen erteilen konnten. Da verschiedene Kunden demselben Google SecOps-Dienstkonto die Berechtigung für ihren Bucket erteilt haben, gab es einen Exploitation-Vektor, der es dem Feed eines Kunden ermöglichte, auf den Bucket eines anderen Kunden zuzugreifen, wenn ein Feed erstellt oder geändert wurde. Für diesen Exploitation-Vektor war die Kenntnis des Bucket-URI erforderlich. Bei der Erstellung oder Änderung von Feeds verwendet Google SecOps jetzt eindeutige Dienstkonten für jeden Kunden.

Hoch