本页面提供了与 Google Security Operations 相关的所有安全公告。
GCP-2023-028
发布日期 :2023 年 9 月 19 日
更新日期:2024 年 5 月 29 日
说明
说明 | 严重程度 | 备注 |
---|---|---|
2024 年 5 月 29 日更新:新 Feed 不再使用
但对现有 Feed 仍然有效,以避免
服务中断。系统会阻止对旧 Feed 中的来源所做的更改,以防止滥用共享服务账号。只要不更改来源,客户就可以继续照常使用旧 Feed。
客户可以配置 Google SecOps 以使用提取 Feed 从客户拥有的 Cloud Storage 存储桶提取数据。直到最近,Google SecOps 提供的共享服务账号一直供客户用于向存储桶授予权限。存在业务机会 这样就可以配置一个客户的 Google SecOps 实例 从其他客户的 Cloud Storage 存储桶中注入数据。在执行影响分析后,我们发现目前或之前未曾利用此漏洞。此漏洞存在于 2023 年 9 月 19 日之前的 Google SecOps。 该怎么做? 自 2023 年 9 月 19 日起,Google SecOps 已更新,以 这个漏洞客户无需采取任何行动。 解决了哪些漏洞? 以前,Google SecOps 提供的共享服务账号供客户授予对存储桶的权限。因为与 向同一 Google SecOps 服务账号授予了 就存在一个利用媒介,允许一个客户的 在创建 Feed 时访问其他客户的存储桶 或修改过的文件。此利用途径需要知道存储桶 URI。现在,在创建或修改 Feed 的过程中,Google SecOps 会使用 每个客户的唯一服务账号 |
高 |