Nesta página, você encontra todos os boletins de segurança relacionados às Operações de segurança do Google.

GCP-2023-028

Publicado em: 19/09/2023

Atualizado em: 29/05/2024

Descrição

Descrição Gravidade Observações
Atualização de 29/05/2024: os novos feeds não usam mais o conta de serviço compartilhada, mas ela permanece ativa para os feeds atuais para evitar e as interrupções do serviço. Mudanças na origem em feeds mais antigos são bloqueadas para evitar o uso indevido da conta de serviço compartilhada. Os clientes podem continuar usando seus feeds antigos normalmente, desde que não alterem a origem.

Os clientes podem configurar o Google SecOps para ingerir dados de buckets do Cloud Storage do cliente usando um feed de ingestão. Até recentemente, o Google SecOps forneceu uma conta de serviço compartilhada clientes usados para conceder permissão ao bucket. Uma oportunidade existia para que a instância do Google SecOps de um cliente pudesse ser configurada para ingerir dados do bucket do Cloud Storage de outro cliente. Depois ao realizar uma análise de impacto, não encontramos explorações atuais ou anteriores essa vulnerabilidade. A vulnerabilidade estava presente em todas as versões Google SecOps antes de 19 de setembro de 2023.

O que fazer?

Em 19 de setembro de 2023, o Google SecOps foi atualizado para resolver essa vulnerabilidade. Nenhuma ação do cliente é necessária.

Quais vulnerabilidades estão sendo resolvidas?

Antes, o Google SecOps fornecia uma conta de serviço compartilhada que os clientes usaram para conceder permissões a um bucket. Como é diferente os clientes deram permissão à mesma conta de serviço do Google SecOps para um vetor de exploração que permitia que um cliente para acessar o bucket de um cliente diferente durante a criação de um feed ou modificados. Esse vetor de exploração exigia conhecimento do bucket URI. Agora, durante a criação ou modificação do feed, o Google SecOps usa contas de serviço exclusivas para cada cliente.

Alta