使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
本页面提供了与 Google Security Operations 相关的所有安全公告。
GCP-2023-028
发布日期 :2023 年 9 月 19 日
更新日期: 2024 年 5 月 29 日
说明
说明 |
严重级别 |
Notes |
2024 年 5 月 29 日更新:新 Feed 不再使用共享服务帐号,但该帐号对现有 Feed 仍然有效,以避免服务中断。系统会阻止对旧 Feed 中的来源所做的更改,以防止共享服务帐号遭到滥用。只要客户不更改来源,就可以继续照常使用旧 Feed。
客户可以配置 Google SecOps,以使用注入 Feed 从客户拥有的 Cloud Storage 存储分区中提取数据。直到最近,Google SecOps 才提供了一个共享服务帐号,客户用它来授予存储桶的权限。这时,客户的 Google SecOps 实例可以配置为从其他客户的 Cloud Storage 存储桶中注入数据。执行影响分析后,我们发现当前或之前没有利用此漏洞。2023 年 9 月 19 日之前的所有 Google SecOps 版本都存在此漏洞。
该怎么做?
截至 2023 年 9 月 19 日,Google SecOps 已得到更新,以解决此漏洞。客户无需采取任何行动。
解决了哪些漏洞?
之前,Google SecOps 提供了一个共享服务帐号,客户用于向存储桶授予权限。由于不同的客户向同一 Google SecOps 服务帐号授予了其存储桶的权限,因此存在一个漏洞;利用该漏洞,当某个客户的 Feed 在创建或修改 Feed 时,该途径允许其访问其他客户的存储桶。此利用途径要求知道存储桶 URI。现在,在创建或修改 Feed 期间,Google SecOps 会为每个客户使用唯一的服务帐号。
|
高 |
|
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2024-06-25。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻译问题"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"易于理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"解决了我的问题"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]