Sicherheitsbulletins | Google Security Operations

Diese Seite wurde von der Cloud Translation API übersetzt.

Auf dieser Seite finden Sie alle Sicherheitsbulletins im Zusammenhang mit Google Security Operations.

GCP-2023-028

Veröffentlicht: 19. September 2023

Aktualisiert: 29.05.2024

Beschreibung

Beschreibung	Schweregrad	Hinweise
Aktualisierung vom 29. Mai 2024: Das freigegebene Dienstkonto wird für die neuen Feeds nicht mehr verwendet, bleibt aber für vorhandene Feeds aktiv, um Dienstunterbrechungen zu vermeiden. Änderungen an der Quelle in älteren Feeds werden blockiert, um Missbrauch des freigegebenen Dienstkontos zu verhindern. Kunden können ihre alten Feeds weiterhin wie gewohnt verwenden, sofern sie die Quelle nicht ändern. Kunden können Google SecOps so konfigurieren, dass Daten aus Cloud Storage-Buckets des Kunden mithilfe eines Datenaufnahmefeeds aufgenommen werden. Bis vor Kurzem stellte Google SecOps ein freigegebenes Dienstkonto bereit, mit dem Kunden dem Bucket eine Berechtigung gewähren konnten. Es gab eine Möglichkeit, die Google SecOps-Instanz eines Kunden so zu konfigurieren, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen werden. Bei einer Auswirkungensanalyse haben wir keine aktuelle oder frühere Ausnutzung dieser Sicherheitslücke festgestellt. Die Sicherheitslücke war in allen Versionen von Google SecOps vor dem 19. September 2023 vorhanden. Was soll ich tun? Seit dem 19. September 2023 wurde Google SecOps aktualisiert, um diese Sicherheitslücke zu schließen. Auf Kundenseite sind keine Maßnahmen erforderlich. Welche Sicherheitslücken werden behoben? Bisher stellte Google SecOps ein freigegebenes Dienstkonto bereit, mit dem Kunden einem Bucket eine Berechtigung gewähren konnten. Da verschiedene Kunden demselben Google SecOps-Dienstkonto die Berechtigung für ihren Bucket erteilt hatten, gab es einen Ausnutzungsvektor, der es dem Feed eines Kunden ermöglichte, beim Erstellen oder Ändern eines Feeds auf den Bucket eines anderen Kunden zuzugreifen. Für diesen Ausnutzungsvektor war das Wissen um den Bucket-URI erforderlich. Beim Erstellen oder Ändern von Feeds verwendet Google SecOps jetzt eindeutige Dienstkonten für jeden Kunden.	Hoch

Schweregrad

Hinweise

Aktualisierung vom 29. Mai 2024: Das freigegebene Dienstkonto wird für die neuen Feeds nicht mehr verwendet, bleibt aber für vorhandene Feeds aktiv, um Dienstunterbrechungen zu vermeiden. Änderungen an der Quelle in älteren Feeds werden blockiert, um Missbrauch des freigegebenen Dienstkontos zu verhindern. Kunden können ihre alten Feeds weiterhin wie gewohnt verwenden, sofern sie die Quelle nicht ändern.

Kunden können Google SecOps so konfigurieren, dass Daten aus Cloud Storage-Buckets des Kunden mithilfe eines Datenaufnahmefeeds aufgenommen werden. Bis vor Kurzem stellte Google SecOps ein freigegebenes Dienstkonto bereit, mit dem Kunden dem Bucket eine Berechtigung gewähren konnten. Es gab eine Möglichkeit, die Google SecOps-Instanz eines Kunden so zu konfigurieren, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen werden. Bei einer Auswirkungensanalyse haben wir keine aktuelle oder frühere Ausnutzung dieser Sicherheitslücke festgestellt. Die Sicherheitslücke war in allen Versionen von Google SecOps vor dem 19. September 2023 vorhanden.

Was soll ich tun?

Seit dem 19. September 2023 wurde Google SecOps aktualisiert, um diese Sicherheitslücke zu schließen. Auf Kundenseite sind keine Maßnahmen erforderlich.

Welche Sicherheitslücken werden behoben?

Bisher stellte Google SecOps ein freigegebenes Dienstkonto bereit, mit dem Kunden einem Bucket eine Berechtigung gewähren konnten. Da verschiedene Kunden demselben Google SecOps-Dienstkonto die Berechtigung für ihren Bucket erteilt hatten, gab es einen Ausnutzungsvektor, der es dem Feed eines Kunden ermöglichte, beim Erstellen oder Ändern eines Feeds auf den Bucket eines anderen Kunden zuzugreifen. Für diesen Ausnutzungsvektor war das Wissen um den Bucket-URI erforderlich. Beim Erstellen oder Ändern von Feeds verwendet Google SecOps jetzt eindeutige Dienstkonten für jeden Kunden.

Hoch