安全公告 | Google Security Operations

此页面由 Cloud Translation API 翻译。

本页面提供了与 Google Security Operations 相关的所有安全公告。

GCP-2023-028

发布日期 ：2023 年 9 月 19 日

更新日期： 2024 年 5 月 29 日

说明

说明	严重级别	Notes
2024 年 5 月 29 日更新：新 Feed 不再使用共享服务帐号，但该帐号对现有 Feed 仍然有效，以避免服务中断。系统会阻止对旧 Feed 中的来源所做的更改，以防止共享服务帐号遭到滥用。只要客户不更改来源，就可以继续照常使用旧 Feed。客户可以配置 Google SecOps，以使用注入 Feed 从客户拥有的 Cloud Storage 存储分区中提取数据。直到最近，Google SecOps 才提供了一个共享服务帐号，客户用它来授予存储桶的权限。这时，客户的 Google SecOps 实例可以配置为从其他客户的 Cloud Storage 存储桶中注入数据。执行影响分析后，我们发现当前或之前没有利用此漏洞。2023 年 9 月 19 日之前的所有 Google SecOps 版本都存在此漏洞。该怎么做？截至 2023 年 9 月 19 日，Google SecOps 已得到更新，以解决此漏洞。客户无需采取任何行动。解决了哪些漏洞？之前，Google SecOps 提供了一个共享服务帐号，客户用于向存储桶授予权限。由于不同的客户向同一 Google SecOps 服务帐号授予了其存储桶的权限，因此存在一个漏洞；利用该漏洞，当某个客户的 Feed 在创建或修改 Feed 时，该途径允许其访问其他客户的存储桶。此利用途径要求知道存储桶 URI。现在，在创建或修改 Feed 期间，Google SecOps 会为每个客户使用唯一的服务帐号。	高

严重级别

Notes

2024 年 5 月 29 日更新：新 Feed 不再使用共享服务帐号，但该帐号对现有 Feed 仍然有效，以避免服务中断。系统会阻止对旧 Feed 中的来源所做的更改，以防止共享服务帐号遭到滥用。只要客户不更改来源，就可以继续照常使用旧 Feed。

客户可以配置 Google SecOps，以使用注入 Feed 从客户拥有的 Cloud Storage 存储分区中提取数据。直到最近，Google SecOps 才提供了一个共享服务帐号，客户用它来授予存储桶的权限。这时，客户的 Google SecOps 实例可以配置为从其他客户的 Cloud Storage 存储桶中注入数据。执行影响分析后，我们发现当前或之前没有利用此漏洞。2023 年 9 月 19 日之前的所有 Google SecOps 版本都存在此漏洞。

该怎么做？

截至 2023 年 9 月 19 日，Google SecOps 已得到更新，以解决此漏洞。客户无需采取任何行动。

解决了哪些漏洞？

之前，Google SecOps 提供了一个共享服务帐号，客户用于向存储桶授予权限。由于不同的客户向同一 Google SecOps 服务帐号授予了其存储桶的权限，因此存在一个漏洞；利用该漏洞，当某个客户的 Feed 在创建或修改 Feed 时，该途径允许其访问其他客户的存储桶。此利用途径要求知道存储桶 URI。现在，在创建或修改 Feed 期间，Google SecOps 会为每个客户使用唯一的服务帐号。

高