Auf dieser Seite finden Sie alle Sicherheitsbulletins im Zusammenhang mit Google Security Operations.
GCP-2023-028
Veröffentlicht: 19.09.2023
Aktualisiert: 29.05.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 29. Mai 2024: Das freigegebene Dienstkonto wird für die neuen Feeds nicht mehr verwendet, bleibt aber für vorhandene Feeds aktiv, um Dienstunterbrechungen zu vermeiden. Änderungen an der Quelle in älteren Feeds werden blockiert, um Missbrauch des freigegebenen Dienstkontos zu verhindern. Kunden können ihre alten Feeds weiterhin wie gewohnt verwenden, sofern sie die Quelle nicht ändern.
Kunden können Google SecOps so konfigurieren, dass Daten aus folgenden Quellen aufgenommen werden: kundeneigene Cloud Storage-Buckets mit einem Datenaufnahmefeed verwenden. Bis Google SecOps hat kürzlich ein gemeinsames Dienstkonto bereitgestellt, Kunden, die eine Berechtigung für den Bucket erteilt haben. Es gab eine Möglichkeit, die Google SecOps-Instanz eines Kunden so zu konfigurieren, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen werden. Bei einer Auswirkungensanalyse haben wir keine aktuelle oder frühere Ausnutzung dieser Sicherheitslücke festgestellt. Die Sicherheitslücke war in allen Versionen von Google SecOps vor dem 19. September 2023 vorhanden. Was soll ich tun? Seit dem 19. September 2023 wurde Google SecOps aktualisiert, um diese Sicherheitslücke zu schließen. Auf Kundenseite sind keine Maßnahmen erforderlich. Welche Sicherheitslücken werden behoben? Bisher stellte Google SecOps ein freigegebenes Dienstkonto zur Verfügung. mit denen Kunden Berechtigungen für einen Bucket erteilt haben. Weil unterschiedliche Kunden erteilten demselben Google SecOps-Dienstkonto die Berechtigung, Es gab einen Exploit-Vektor, der es einem Kunden ermöglichte, Feed, um auf den Bucket eines anderen Kunden zuzugreifen, wenn ein Feed erstellt wurde oder modifiziert wurden. Dieser Angriffsvektor erforderte Kenntnis des Buckets URI. Beim Erstellen oder Ändern von Feeds nutzt Google SecOps eindeutige Dienstkonten für jeden Kunden. |
Hoch |