Sicherheitsbulletins | Google Security Operations

Diese Seite wurde von der Cloud Translation API übersetzt.

Diese Seite enthält alle Sicherheitsbulletins im Zusammenhang mit Google Security Operations.

GCP-2023-028

Veröffentlicht: 19.09.2023

Aktualisiert : 29.05.2024

Beschreibung

Beschreibung	Schweregrad	Notes
Aktualisierung vom 29. Mai 2024: Für die neuen Feeds wird das gemeinsam genutzte Dienstkonto nicht mehr verwendet. Es bleibt aber für vorhandene Feeds aktiv, um Dienstunterbrechungen zu vermeiden. Änderungen an der Quelle in älteren Feeds werden blockiert, um den Missbrauch des gemeinsam genutzten Dienstkontos zu verhindern. Kunden können ihre alten Feeds weiterhin wie gewohnt verwenden, solange die Quelle nicht geändert wird. Kunden können Google SecOps so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets über einen Aufnahmefeed aufgenommen werden. Bis vor Kurzem stellte Google SecOps ein gemeinsames Dienstkonto zur Verfügung, mit dem Kunden Berechtigungen für den Bucket erteilen. Es gab eine Möglichkeit, dass die Google SecOps-Instanz eines Kunden so konfiguriert werden konnte, dass sie Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufnehmen konnte. Bei einer Wirkungsanalyse haben wir keine aktuelle oder frühere Ausnutzung dieser Sicherheitslücke festgestellt. Die Sicherheitslücke war vor dem 19. September 2023 in allen Versionen von Google SecOps vorhanden. Was soll ich tun? Am 19. September 2023 wurde Google SecOps aktualisiert, um diese Sicherheitslücke zu schließen. Der Kunde muss nichts weiter tun. Welche Sicherheitslücken werden behoben? Früher stellte Google SecOps ein freigegebenes Dienstkonto bereit, mit dem Kunden Berechtigungen für einen Bucket erteilen. Da verschiedene Kunden demselben Google SecOps-Dienstkonto die Berechtigung für ihren Bucket erteilt haben, existierte ein Ausnutzungsvektor, über den der Feed eines Kunden beim Erstellen oder Ändern eines Feeds auf den Bucket eines anderen Kunden zugreifen konnte. Für diesen Ausnutzungsvektor war die Kenntnis des Bucket-URI erforderlich. Beim Erstellen oder Ändern eines Feeds verwendet Google SecOps jetzt eindeutige Dienstkonten für jeden Kunden.	Hoch

Schweregrad

Notes

Aktualisierung vom 29. Mai 2024: Für die neuen Feeds wird das gemeinsam genutzte Dienstkonto nicht mehr verwendet. Es bleibt aber für vorhandene Feeds aktiv, um Dienstunterbrechungen zu vermeiden. Änderungen an der Quelle in älteren Feeds werden blockiert, um den Missbrauch des gemeinsam genutzten Dienstkontos zu verhindern. Kunden können ihre alten Feeds weiterhin wie gewohnt verwenden, solange die Quelle nicht geändert wird.

Kunden können Google SecOps so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets über einen Aufnahmefeed aufgenommen werden. Bis vor Kurzem stellte Google SecOps ein gemeinsames Dienstkonto zur Verfügung, mit dem Kunden Berechtigungen für den Bucket erteilen. Es gab eine Möglichkeit, dass die Google SecOps-Instanz eines Kunden so konfiguriert werden konnte, dass sie Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufnehmen konnte. Bei einer Wirkungsanalyse haben wir keine aktuelle oder frühere Ausnutzung dieser Sicherheitslücke festgestellt. Die Sicherheitslücke war vor dem 19. September 2023 in allen Versionen von Google SecOps vorhanden.

Was soll ich tun?

Am 19. September 2023 wurde Google SecOps aktualisiert, um diese Sicherheitslücke zu schließen. Der Kunde muss nichts weiter tun.

Welche Sicherheitslücken werden behoben?

Früher stellte Google SecOps ein freigegebenes Dienstkonto bereit, mit dem Kunden Berechtigungen für einen Bucket erteilen. Da verschiedene Kunden demselben Google SecOps-Dienstkonto die Berechtigung für ihren Bucket erteilt haben, existierte ein Ausnutzungsvektor, über den der Feed eines Kunden beim Erstellen oder Ändern eines Feeds auf den Bucket eines anderen Kunden zugreifen konnte. Für diesen Ausnutzungsvektor war die Kenntnis des Bucket-URI erforderlich. Beim Erstellen oder Ändern eines Feeds verwendet Google SecOps jetzt eindeutige Dienstkonten für jeden Kunden.

Hoch