コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
このページでは、Chronicle に関連するすべてのセキュリティに関する公開情報を提供します。
GCP-2023-028
公開済み: 2023-09-19
説明
説明 |
重大度 |
メモ |
お客様は、取り込みフィードを使用してお客様所有の Cloud Storage バケットからデータを取り込むように Chronicle を構成できます。Chronicle では最近まで共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。ひとつのお客様の Chronicle インスタンスが、別のお客様の Cloud Storage バケットからデータを取り込むように構成できてしまうという可能性が存在していました。影響分析を実行したところ、この脆弱性は過去にも現在にも悪用されていることが確認されていません。この脆弱性は、2023 年 9 月 19 日より前の Chronicle のすべてのバージョンに存在していました。
必要な対策
2023 年 9 月 19 日時点で、Chronicle はこの脆弱性に対処するように更新されています。お客様による対応は必要ありません。
対処されている脆弱性
Chronicle では以前は共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。複数のお客様が、同一の Chronicle サービス アカウントへのアクセス権を各自のバケットに付与していたため、フィードが作成または変更されたときに、ひとつのお客様のフィードが別のお客様のバケットにアクセスできるという悪用ベクトルが存在していました。この悪用ベクトルには、バケット URI に関する知識が必要でした。現在、フィードの作成時または変更時には、Chronicle はお客様ごとに一意のサービス アカウントを使用します。
|
高 |
|
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2023-12-15 UTC。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻訳に関する問題"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"その他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"わかりやすい"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"問題の解決に役立った"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"その他"
}]