安全公告 | Google Security Operations

此页面由 Cloud Translation API 翻译。

本页提供了与 Google Security Operations 相关的所有安全公告。

GCP-2023-028

发布日期： 2023 年 9 月 19 日

更新日期： 2024-05-29

说明

说明	严重程度	备注
2024 年 5 月 29 日更新：新 Feed 不再使用共享服务账号，但现有 Feed 仍会使用该账号，以免服务中断。系统会阻止对旧 Feed 中来源所做的更改，以防止滥用共享服务账号。只要不更改来源，客户就可以继续照常使用旧 Feed。客户可以配置 Google SecOps 以使用提取 Feed 从客户拥有的 Cloud Storage 存储分区提取数据。直到最近，Google SecOps 提供的共享服务账号一直供客户使用，以便向存储分区授予权限。我们发现了一个机会，可以将一个客户的 Google SecOps 实例配置为从另一个客户的 Cloud Storage 存储分区提取数据。在执行影响分析后，我们发现目前或之前未曾利用此漏洞。2023 年 9 月 19 日之前的所有版本的 Google SecOps 都存在此漏洞。该怎么做？自 2023 年 9 月 19 日起，Google SecOps 已更新，以解决此漏洞。客户无需采取任何行动。解决了哪些漏洞？以前，Google SecOps 提供的共享服务账号供客户授予对存储分区的权限。由于不同的客户向同一 Google SecOps 服务账号授予了对其存储分区的权限，因此存在一个利用途径，允许在创建或修改 Feed 时，一个客户的 Feed 访问另一个客户的存储分区。此利用矢量需要知道存储分区 URI。现在，在 Feed 创建或修改期间，Google SecOps 会为每位客户使用唯一的服务账号。	高

严重程度

备注

2024 年 5 月 29 日更新：新 Feed 不再使用共享服务账号，但现有 Feed 仍会使用该账号，以免服务中断。系统会阻止对旧 Feed 中来源所做的更改，以防止滥用共享服务账号。只要不更改来源，客户就可以继续照常使用旧 Feed。

客户可以配置 Google SecOps 以使用提取 Feed 从客户拥有的 Cloud Storage 存储分区提取数据。直到最近，Google SecOps 提供的共享服务账号一直供客户使用，以便向存储分区授予权限。我们发现了一个机会，可以将一个客户的 Google SecOps 实例配置为从另一个客户的 Cloud Storage 存储分区提取数据。在执行影响分析后，我们发现目前或之前未曾利用此漏洞。2023 年 9 月 19 日之前的所有版本的 Google SecOps 都存在此漏洞。

该怎么做？

自 2023 年 9 月 19 日起，Google SecOps 已更新，以解决此漏洞。客户无需采取任何行动。

解决了哪些漏洞？

以前，Google SecOps 提供的共享服务账号供客户授予对存储分区的权限。由于不同的客户向同一 Google SecOps 服务账号授予了对其存储分区的权限，因此存在一个利用途径，允许在创建或修改 Feed 时，一个客户的 Feed 访问另一个客户的存储分区。此利用矢量需要知道存储分区 URI。现在，在 Feed 创建或修改期间，Google SecOps 会为每位客户使用唯一的服务账号。

高