En esta página, se proporcionan todos los boletines de seguridad relacionados con Google Security Operations.
GCP-2023-028
Fecha de publicación: 19 de septiembre de 2023
Última actualización: 29/05/2024
Descripción
Descripción | Gravedad | Notas |
---|---|---|
Actualización del 29/05/2024: Los nuevos feeds ya no utilizan el
cuenta de servicio compartida, pero permanece activa para que los feeds existentes eviten
interrupciones del servicio. En los feeds más antiguos, los cambios que se realicen en la fuente se bloquearán para
para evitar el uso inadecuado
de la cuenta de servicio compartida. Los clientes pueden seguir usando
sus feeds antiguos normalmente, siempre que no cambien la fuente.
Los clientes pueden configurar Google SecOps para transferir datos de los buckets de Cloud Storage que pertenecen al cliente con un feed de transferencia. Hasta hace poco, Google SecOps proporcionaba una cuenta de servicio compartida que los clientes usaban para otorgar permiso al bucket. Existía una oportunidad para que la instancia de Google SecOps de un cliente se pudiera configurar para transferir datos del bucket de Cloud Storage de otro cliente. Después de realizar un análisis de impacto, no encontramos ningún uso actual o anterior de esta vulnerabilidad. La vulnerabilidad estaba presente en todas las versiones de Google SecOps antes del 19 de septiembre de 2023. ¿Qué debo hacer? A partir del 19 de septiembre de 2023, Google SecOps se actualizó para abordar esta vulnerabilidad. Los clientes no deben realizar ninguna acción. ¿Qué vulnerabilidades se abordan? Anteriormente, Google SecOps proporcionaba una cuenta de servicio compartida que los clientes usaron para otorgar permiso a un bucket. Debido a que diferentes clientes otorgaron el mismo permiso de cuenta de servicio de Google SecOps a su bucket, existía un vector de explotación que permitía que el feed de un cliente accediera al bucket de otro cliente cuando se creaba o modificaba un feed. Este vector de explotación requería conocer el bucket URI Ahora, durante la creación o modificación de feeds, Google SecOps usa cuentas de servicio únicas para cada cliente. |
Alta |