Halaman ini menyediakan semua buletin keamanan yang terkait dengan Google Security Operations.

GCP-2023-028

Dipublikasikan: 19-09-2023

Diperbarui: 29-05-2024

Deskripsi

Deskripsi Keparahan Catatan
Pembaruan 29-05-2024: Feed baru tidak lagi menggunakan akun layanan bersama, tetapi tetap aktif untuk feed yang ada guna menghindari gangguan layanan. Perubahan pada sumber di feed lama diblokir untuk mencegah penyalahgunaan akun layanan bersama. Pelanggan dapat terus menggunakan feed lama mereka seperti biasa, selama mereka tidak mengubah sumbernya.

Pelanggan dapat mengonfigurasi Google SecOps untuk menyerap data dari bucket Cloud Storage milik pelanggan menggunakan feed penyerapan. Hingga baru-baru ini, Google SecOps menyediakan akun layanan bersama yang digunakan pelanggan untuk memberikan izin ke bucket. Ada peluang sehingga instance Google SecOps satu pelanggan dapat dikonfigurasi untuk menyerap data dari bucket Cloud Storage pelanggan lain. Setelah melakukan analisis dampak, kami tidak menemukan eksploitasi saat ini atau sebelumnya terhadap kerentanan ini. Kerentanan ini ada di semua versi Google SecOps sebelum 19 September 2023.

Apa yang sebaiknya saya lakukan?

Mulai 19 September 2023, Google SecOps telah diupdate untuk mengatasi kerentanan ini. Pelanggan tidak perlu melakukan tindakan apa pun.

Kerentanan apa yang ditangani?

Sebelumnya, Google SecOps menyediakan akun layanan bersama yang digunakan pelanggan untuk memberikan izin ke bucket. Karena pelanggan yang berbeda memberikan izin akun layanan Google SecOps yang sama ke bucket mereka, ada vektor eksploitasi yang memungkinkan feed satu pelanggan mengakses bucket pelanggan lain saat feed dibuat atau diubah. Vektor eksploitasi ini memerlukan pengetahuan tentang URI bucket. Sekarang, selama pembuatan atau perubahan feed, Google SecOps menggunakan akun layanan unik untuk setiap pelanggan.

Tinggi