Periódicamente, es posible que publiquemos boletines de seguridad relacionados con Compute Engine. Todos los boletines de seguridad de Compute Engine se describen aquí.
Suscríbete a los boletines de seguridad de Compute Engine.
Fecha de publicación: 18-06-2019
Última actualización: 25-06-2019 H 6:30 a.m. PST
Descripción | Gravedad | Notas |
---|---|---|
DescripciónNetflix divulgó recientemente tres vulnerabilidades de TCP de los kernel de Linux: Estas CVE se conocen en conjunto como NFLX-2019-001. Impacto en Compute EngineLa infraestructura que aloja Google Compute Engine está protegida contra esta vulnerabilidad. Las VM de Compute Engine que ejecutan sistemas operativos de Linux sin parches y que envían o reciben tráfico de red no confiable, son vulnerables a este ataque DoS. Evalúa actualizar estas instancias de VM apenas estén disponibles los parches para sus sistemas operativos. Los balanceadores de cargas que finalizan las conexiones TCP cuentan con parches frente a esta vulnerabilidad. Las instancias de Compute Engine que reciben tráfico no confiable únicamente a través de estos balanceadores de cargas no son vulnerables. Esto incluye balanceadores de cargas de HTTP y de proxies SSL y TCP. Los balanceadores de cargas de red y los internos no finalizan las conexiones TCP. Las instancias de Compute Engine sin parches que reciben tráfico no confiable a través de estos balanceadores de cargas son vulnerables. Imágenes con parches y recursos de proveedoresProporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles, incluido el estado de cada CVE. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques:
|
Medio |
Fecha de publicación: 14-05-2019
Última actualización: 20-05-2019 H 17:00 PST
Descripción | Gravedad | Notas |
---|---|---|
DescripciónIntel divulgó las siguientes CVE: Estas CVE se conocen en conjunto como Muestreo de datos de microarquitectura (MDS). Estas vulnerabilidades pueden hacer que los datos se expongan cuando la ejecución especulativa interactúa con el estado de la microarquitectura. Impacto en Compute EngineLa infraestructura del host que ejecuta Compute Engine aísla las cargas de trabajo del cliente entre sí. Con esto, no se requieren más acciones, a menos que ejecutes códigos no confiables en tus VM. Los clientes que ejecuten códigos no confiables en sus servicios de varias instancias dentro de las máquinas virtuales de Compute Engine deben consultar la mitigación recomendada por el proveedor de su SO invitado, que puede consistir en el uso de las características de mitigación de microcódigo de Intel. Hemos implementado acceso de tránsito para invitados en la funcionalidad nueva de vaciado. A continuación, se muestra un resumen sobre los pasos de mitigación disponibles para imágenes comunes de invitado. Imágenes con parches y recursos de proveedoresProporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles, incluido el estado de cada CVE. Usa estas imágenes para recrear instancias de VM. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques:
Container-Optimized OSTe recomendamos hacer lo siguiente si tu SO invitado es Container Optimized OS (COS) y ejecutas cargas de trabajo de varias instancias no confiables en tu máquina virtual:
|
Medio |
Fecha de publicación: 14-08-2018
Última actualización: 20-08-2018 H 17:00 PST
Descripción | Gravedad | Notas |
---|---|---|
DescripciónIntel divulgó las siguientes CVE:
Estas CVE se conocen en conjunto como "Falla de terminal L1 (L1TF)". Estas vulnerabilidades L1TF explotan la ejecución especulativa, ya que atacan la configuración de estructuras de datos en el procesador. "L1" hace referencia a la caché de datos de nivel 1 (L1D), un recurso pequeño del núcleo que se utiliza para acelerar el acceso a la memoria. Consulta la entrada de blog de Google Cloud para obtener más detalles sobre estas vulnerabilidades y las mitigaciones de Compute Engine. Impacto en Compute EngineLa infraestructura del host que ejecuta Compute Engine y aísla las cargas de trabajo del cliente entre sí está protegida frente a los ataques conocidos. Se recomienda a los clientes de Compute Engine que actualicen su imagen para impedir la posible explotación indirecta dentro de los entornos invitados. Esto es importante especialmente para los clientes que ejecutan sus propios servicios de varias instancias en las máquinas virtuales de Compute Engine. Los clientes de Google Compute Engine pueden actualizar los sistemas operativos invitados en sus instancias con una de las siguientes opciones:
Imágenes con parches y recursos de proveedoresProporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles, incluido el estado de ambas CVE. Usa estas imágenes para recrear las instancias de VM. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques:
|
Alta |
Fecha de publicación: 06-08-2018
Última actualización: 05-09-2018 H 17:00 PST
Descripción | Gravedad | Notas |
---|---|---|
Actualización del 05-09-2018US-CERT divulgó la vulnerabilidad CVE-2018-5391 el 14 de agosto de 2018. Al igual que CVE-2018-5390, se trata de una vulnerabilidad de las herramientas de red del kernel que aumenta la eficacia de los ataques de denegación del servicio (DoS) realizados contra sistemas vulnerables. La diferencia principal es que la CVE-2018-5391 se puede utilizar en conexiones IP. Actualizamos este boletín para que abarque ambas vulnerabilidades. DescripciónCVE-2018-5390 ("SegmentSmack") describe una vulnerabilidad de la red en el kernel que aumenta la efectividad de los ataques de denegación del servicio (DoS) contra sistemas vulnerables a través de conexiones de TCP. CVE-2018-5391 ("FragmentSmack") describe una vulnerabilidad de la red en el kernel que aumenta la efectividad de los ataques de denegación del servicio (DoS) contra sistemas vulnerables a través de conexiones IP. Impacto en Compute EngineLa infraestructura del host que ejecuta las VM de Compute Engine no está en riesgo. La infraestructura de red que controla el tráfico desde y hacia las VM de Compute Engine está protegida frente a esta vulnerabilidad. Las VM de Compute Engine que solo envían o reciben tráfico de red no confiable a través de balanceadores de cargas HTTP(S), SSL o TCP están protegidas frente a esta vulnerabilidad. Las VM de Compute Engine que ejecutan sistemas operativos sin parches que envían o reciben tráfico de red no confiable directamente o a través de balanceadores de carga de red son vulnerables a este ataque DoS. Evalúa actualizar tus instancias de VM apenas estén disponibles los parches para sus sistemas operativos. Los clientes de Compute Engine pueden actualizar los sistemas operativos invitados en sus instancias con una de las siguientes opciones:
Imágenes con parches y recursos de proveedoresProporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles.
|
Alta |
Fecha de publicación: 03-01-2018
Última actualización: 21-05-2018 H 15:00 PST
Descripción | Gravedad | Notas |
---|---|---|
Actualización del 21-05-2018Intel divulgó las vulnerabilidades CVE-2018-3640 y CVE-2018-3639, variantes 3a y 4, respectivamente. Al igual que con las primeras tres variantes de Spectre y Meltdown, la infraestructura que ejecuta las instancias de VM de Compute Engine está protegida y las instancias de VM de los clientes están aisladas y protegidas entre sí. Además, Compute Engine planea implementar los parches de microcódigo de Intel en su infraestructura, lo que permitirá que los clientes que ejecutan cargas de trabajo no confiables o de varias instancias en una única instancia de VM puedan habilitar mitigaciones adicionales dentro de las VM cuando los proveedores de los sistemas operativos proporcionen esas mitigaciones. Una vez que Intel certifique los parches de microcódigo, Compute Engine los implementará después de probarlos y calificarlos para el entorno de producción. Brindaremos cronogramas detallados y actualizaciones en esta página a medida que estén disponibles. DescripciónEstas CVE son variantes de una clase nueva de ataque que explota la tecnología de ejecución especulativa disponible en varios procesadores. Esta clase de ataque puede otorgar acceso de solo lectura no autorizado a los datos de la memoria en diversas circunstancias. Compute Engine usó la tecnología de migración en vivo de VM para llevar a cabo actualizaciones del sistema de host y del hipervisor sin afectar a los usuarios y sin períodos de mantenimiento forzoso ni reinicios masivos. Sin embargo, todos los sistemas operativos invitados y las versiones deben contar con parches que los protejan frente a esta nueva clase de ataque, independientemente de dónde se ejecuten esos sistemas. Consulta la entrada de blog sobre Project Zero para obtener detalles técnicos completos sobre este método de ataque. Consulta la entrada de blog sobre la seguridad de Google para obtener detalles completos sobre las mitigaciones de Google, incluida información específica de los productos. Impacto en Compute EngineLa infraestructura que ejecuta Compute Engine y aísla las instancias de VM de los clientes entre sí está protegida frente a ataques conocidos. Nuestras mitigaciones evitan el acceso no autorizado a los sistemas de host desde aplicaciones que se ejecuten dentro de las instancias de VM. Estas mitigaciones también evitan el acceso no autorizado entre las instancias de VM que se ejecuten en el mismo sistema de host. Para evitar el acceso no autorizado dentro de tus instancias de máquina virtual, debes actualizar los sistemas operativos invitados en esas instancias con una de las siguientes opciones:
Imágenes con parches y recursos de proveedoresNota: Las imágenes con parches pueden no incluir correcciones para todas las CVE mencionadas en este aviso del boletín de seguridad. Además, las diferentes imágenes pueden incluir métodos distintos para evitar estos tipos de ataques. Comunícate con el proveedor de tu sistema operativo para confirmar cuáles CVE se abordan en sus parches y qué métodos de prevención usan.
Usa estas imágenes para recrear las instancias de VM. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques. Parches de proveedores de hardwareNVIDIA ofrece controladores con parches para disminuir la posibilidad de ataques contra los sistemas que tienen instalado el software de controlador NVIDIA®. Para conocer qué versiones de los controladores tienen parches, consulta el boletín de seguridad Actualizaciones de seguridad de controladores gráficos de GPU de NVIDIA. Historial de revisión:
|
Alta |
Fecha de publicación: 02-10-2017
Descripción | Gravedad | Notas |
---|---|---|
DescripciónDnsmasq proporciona funciones para publicar anuncios de DNS, DHCP y de router, y para iniciar la red. Por lo general, este software está instalado en sistemas tan variados como computadoras de escritorio, distribuciones de Linux (como Ubuntu), routers domésticos y dispositivos de IoT. Dnsmasq es muy usado tanto en Internet abierto como en redes privadas. Google descubrió siete problemas distintos en el transcurso de nuestras evaluaciones internas y habituales de seguridad. Después de determinar la gravedad de estos problemas, trabajamos para investigar su impacto y riesgo de utilización, y generamos pruebas de concepto internas para cada uno. También trabajamos con Simon Kelly, el encargado de mantenimiento de Dnsmasq, para generar los parches apropiados y mitigar el problema. Durante nuestra revisión, el equipo descubrió tres ejecuciones de código remotas posibles, una filtración de información y tres vulnerabilidades de denegación del servicio que afectaban la última versión en el servidor Git del proyecto a partir del 5 de septiembre de 2017. Estos parches se envían de manera ascendente y se confirman en el repositorio de Git del proyecto. Impacto en Compute EngineDe manera predeterminada, Dnsmasq solo está instalado en imágenes que usan NetworkManager y se encuentra inactivo. Las siguientes imágenes públicas de Compute Engine tienen instalado Dnsmasq:
Sin embargo, es posible que otras imágenes tengan instalado Dnsmasq como una dependencia para otros paquetes. Te recomendamos actualizar las instancias de Debian, Ubuntu, CentOS, RHEL, SLES y OpenSuse para usar la imagen de sistema operativo más reciente. CoreOS y Container-Optimized OS no se ven afectados. Las imágenes de Windows tampoco se ven afectadas. Para las instancias con Debian y Ubuntu, puedes actualizarlas si ejecutas en ellas los siguientes comandos: sudo apt-get -y update sudo apt-get -y dist-upgrade En instancias de Red Hat Enterprise Linux y CentOS, ejecuta lo siguiente: sudo yum -y upgrade En imágenes de SLES y OpenSUSE, ejecuta lo siguiente: sudo zypper up En lugar de ejecutar los comandos de actualización manual, puedes recrear instancias de VM con las familias de imágenes del sistema operativo correspondiente. |
Alta |
Fecha de publicación: 26-10-2016
Descripción | Gravedad | Notas |
---|---|---|
DescripciónCVE-2016-5195 es una condición de carrera debida a la manera en que el subsistema de memoria del kernel de Linux controlaba las fallas de la función COW sobre las asignaciones privadas de solo lectura durante el acceso de escritura. Un usuario local sin privilegios podría usar esta vulnerabilidad para obtener acceso de escritura a asignaciones de memoria que de lo contrario serían de solo lectura y, de esta manera, aumentar sus privilegios en el sistema. Para obtener más información, consulta las Preguntas frecuentes sobre Dirty COW. Impacto en Compute EngineTodas las distribuciones y versiones de Linux en Compute Engine se ven afectadas. La mayoría de las instancias se descargarán automáticamente y se instalarán en un kernel más reciente. Sin embargo, debes reiniciar la instancia para aplicar el parche a un sistema en ejecución. Las instancias nuevas o vueltas a crear basadas en las siguientes imágenes de Compute Engine incluyen kernels con parches instalados.
|
Alta | CVE-2016-5195 |
Fecha de publicación: 16-02-2016
Última actualización: 22-02-2016
Descripción | Gravedad | Notas |
---|---|---|
Descripción
CVE-2015-7547 es una vulnerabilidad en la que el agente de resolución del lado del cliente DNS glibc hace que el software sea vulnerable a un desbordamiento de búfer basado en la pila cuando se usa la función Para ver más detalles, consulta el blog de Google Online Security o la base de datos de riesgos y vulnerabilidades comunes (CVE). Impacto en Compute EngineActualización (22-02-2016): Ahora puedes recrear tus instancias con las siguientes imágenes de CoreOS, SLES y OpenSUSE:
Actualización (17-02-2016): Ahora puedes aplicar una actualización en las instancias de Ubuntu 12.04 LTS, Ubuntu 14.04 LTS y Ubuntu 15.10 si ejecutas los siguientes comandos:
En lugar de ejecutar los comandos de actualización en forma manual, ahora puedes recrear estas instancias con las siguientes imágenes nuevas:
No conocemos métodos que puedan explotar esta vulnerabilidad a través de los agentes de resolución del DNS de Compute Engine con la configuración predeterminada de glibc. De todas formas, deberías aplicar un parche a tus instancias de máquinas virtuales lo antes posible, ya que, como ocurre con todas las vulnerabilidades nuevas, es posible que se descubran nuevos métodos de explotación con el tiempo. Si habilitaste edns0, que está inhabilitado de manera predeterminada, deberías inhabilitarlo hasta que se aplique un parche a las instancias. Boletín original: Es posible que tu distribución de Linux sea vulnerable. Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad si ejecutan un SO de Linux. Para aplicar una actualización en las instancias que ejecutan Debian, puedes usar los siguientes comandos en tu instancia:
También te recomendamos instalar UnattendedUpgrades para tus instancias de Debian. En instancias de Red Hat Enterprise Linux, ejecuta lo siguiente:
Seguiremos actualizando este boletín en la medida que otros encargados del mantenimiento de sistemas operativos publiquen parches para esta vulnerabilidad y Compute Engine publique imágenes de SO actualizadas. |
Alta | CVE-2015-7547 |
Fecha de publicación: 19-03-2015
Descripción | Gravedad | Notas |
---|---|---|
DescripciónCVE-2015-1427 es una vulnerabilidad en la que el motor de secuencias de comandos Groovy de Elasticsearch antes de la versión 1.3.8 y en cualquier versión 1.4.x antes de la 1.4.3, permite que los atacantes eludan el mecanismo de protección de la zona de pruebas y ejecuten comandos arbitrarios del shell. Para ver más detalles, consulta la base de datos nacional de vulnerabilidades (NVD) o la base de datos de riesgos y vulnerabilidades comunes (CVE). Impacto en Compute EngineSi ejecutas Elasticsearch en instancias de Compute Engine, deberías actualizar tu versión de Elasticsearch a la 1.4.3 o una más reciente. Si ya actualizaste el software de Elasticsearch, estás protegido contra esta vulnerabilidad. Si aún no actualizas Elasticsearch a la versión 1.4.3 o una más reciente, puedes ejecutar una actualización progresiva. Si implementaste Elasticsearch con la implementación en un clic en Google Cloud Platform Console, puedes borrar la implementación para quitar las instancias que ejecutan Elasticsearch. El equipo de Google Cloud Platform está trabajando en una solución para implementar una versión actualizada de Elasticsearch. Sin embargo, la solución aún no está disponible para la función de implementación en un clic en GCP Console. |
Alta | CVE-2015-1427 |
Fecha de publicación: 29-01-2015
Descripción | Gravedad | Notas |
---|---|---|
DescripciónCVE-2015-0235 (Ghost) es una vulnerabilidad de la biblioteca glibc. No es necesario que los clientes de App Engine, Cloud Storage, BigQuery y CloudSQL realicen ninguna acción. Los servidores de Google se actualizaron y están protegidos contra esta vulnerabilidad. Es posible que los clientes de Compute Engine deban actualizar sus imágenes de SO. Impacto en Compute EngineEs posible que tu distribución de Linux sea vulnerable. Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad si ejecutan Debian 7, backports de Debian 7, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS o SUSE Linux Enterprise Server 11 SP3. Esta vulnerabilidad no afecta a Ubuntu 14.04 LTS, Ubuntu 14.10 ni SUSE Linux Enterprise Server 12. Te recomendamos actualizar tus distribuciones de Linux. Para actualizar las instancias que ejecutan Debian 7, backports de Debian 7 o Ubuntu 12.04 LTS, ejecuta los siguientes comandos en tu instancia:
En instancias de Red Hat Enterprise Linux o CentOS, ejecuta lo siguiente:
En instancias de SUSE Linux Enterprise Server 11 SP3, ejecuta lo siguiente:
En lugar de ejecutar en forma manual los comandos de actualización indicados previamente, ahora los usuarios pueden recrear sus instancias con las siguientes imágenes nuevas:
Impacto sobre VM administradas por GoogleLos usuarios de VM administradas que usan |
Alta | CVE-2015-0235 |
Fecha de publicación: 15-10-2014
Última actualización: 17-10-2014
Descripción | Gravedad | Notas |
---|---|---|
DescripciónCVE-2014-3566 (conocida también como POODLE) es una vulnerabilidad en el diseño de SSL versión 3.0. Esta vulnerabilidad permite que un atacante de la red calcule el texto sin formato de las conexiones seguras. Para ver detalles, consulta nuestra publicación en el blog sobre la vulnerabilidad. No es necesario que los clientes de App Engine, Cloud Storage, BigQuery y CloudSQL realicen ninguna acción. Los servidores de Google se actualizaron y están protegidos contra esta vulnerabilidad. Los clientes de Compute Engine deben actualizar sus imágenes de SO. Impacto en Compute EngineActualización (17-10-2014): Si usas SSLv3, es posible que seas vulnerable. Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad. Te recomendamos actualizar tus distribuciones de Linux. Para aplicar una actualización en las instancias que ejecutan Debian, puedes usar los siguientes comandos en tu instancia: user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot En instancias de CentOS: user@my-instance:~$ sudo yum -y upgrade user@my-instance:~$ sudo reboot En lugar de ejecutar en forma manual los comandos de actualización indicados previamente, ahora los usuarios pueden recrear sus instancias con las siguientes imágenes nuevas:
Actualizaremos el boletín para las imágenes de RHEL y SLES una vez que tengamos las imágenes. Por el momento, los usuarios de RHEL pueden consultar directamente con Red Hat para obtener más información. Boletín original: Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad. Actualizaremos este boletín de seguridad con instrucciones una vez que haya imágenes de SO nuevas disponibles. |
Medio | CVE-2014-3566 |
Fecha de publicación: 24-09-2014
Última actualización: 29-09-2014
Descripción | Gravedad | Notas |
---|---|---|
DescripciónExiste un error en bash (CVE-2014-6271) que permite la ejecución remota de código a partir del análisis de variables de entorno controladas por el atacante. El vector de explotación más probable es a través de solicitudes HTTP maliciosas compuestas por secuencias de comandos de CGI expuestas en un servidor web. Para obtener más información, consulta la descripción del error. Los errores de bash se mitigaron para productos de Google Cloud Platform, excepto para las imágenes de SO de invitado de Compute Engine con fecha previa al 26-09-2014. Consulta los siguientes pasos para mitigar los errores en tus imágenes de Compute Engine. Impacto en Compute Engine
Es posible que este error afecte prácticamente a todos los sitios web que usan secuencias de comandos de CGI. Además, es probable que afecte a sitios web que dependen de PHP, Perl, Python, SSI, Java, C++ y servlets similares que alguna vez invocarán comandos del shell a través de llamadas como Actualización (29-09-2014): En lugar de ejecutar en forma manual los comandos de actualización indicados a continuación, ahora los usuarios pueden recrear sus instancias con imágenes que mitigan vulnerabilidades adicionales relacionadas con el error de seguridad de Bash, incluidas CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186 y CVE-2014-7187. Usa las siguientes imágenes nuevas para recrear tus instancias:
Actualización (25-09-2014): Ahora, los usuarios pueden recrear sus instancias en lugar de ejecutar una actualización manual. Para recrear tus instancias, usa las siguientes imágenes que contienen soluciones a este error de seguridad:
Para aplicar actualizaciones manuales a imágenes de RHEL y SUSE, puedes ejecutar los siguientes comandos en tus instancias: # RHEL instances user@my-instance:~$ sudo yum -y upgrade # SUSE instances user@my-instance:~$ sudo zypper --non-interactive up Boletín original: Te recomendamos actualizar tus distribuciones de Linux. Para aplicar una actualización en las instancias que ejecutan Debian, puedes usar los siguientes comandos en tu instancia: user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade En instancias de CentOS: user@my-instance:~$ sudo yum -y upgrade Para ver información detallada, revisa el anuncio para la distribución de Linux correspondiente:
|
Alta | CVE-2014-7169, CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 |
Fecha de publicación: 25-07-2014
Descripción | Gravedad | Notas |
---|---|---|
DescripciónElasticsearch Logstash es vulnerable a la inyección de comandos de SO que pueden permitir la modificación y divulgación de los datos sin autorización. Un atacante puede enviar eventos fabricados a cualquiera de las fuentes de datos de Logstash, lo que le permite ejecutar comandos con los permisos del proceso de Logstash. Impacto en Compute EngineEsta vulnerabilidad afecta a todas las instancias de Compute Engine que ejecutan versiones de Elasticsearch Logstash previas a la 1.4.2 con salidas zabbix o nagios_nsca habilitadas. Para evitar ataques, puedes seguir uno de estos pasos:
Obtén más información en el blog de Logstash. Elasticsearch también recomienda usar un firewall para evitar el acceso remoto de las IP que no sean de confianza. |
Alta | CVE-2014-4326 |
Fecha de publicación: 18-06-2014
Descripción | Gravedad | Notas |
---|---|---|
DescripciónNos gustaría tomarnos un momento para responder a todos los posibles problemas que tienen los clientes sobre la seguridad de los contenedores de Docker cuando ejecutan Google Cloud Platform. Esto incluye a los clientes que usan extensiones de Google App Engine que admiten contenedores de Docker, máquinas virtuales optimizadas para contenedores o el programador Kubernetes de código abierto. Docker respondió al problema de manera excelente y puedes ver la respuesta en su blog aquí. Ten en cuenta que, como señalan allí, el problema revelado solo se aplica a Docker 0.11, una versión antigua previa a producción. Si bien los usuarios se preocupan por la seguridad de los contenedores, nos gustaría señalar que en Google Cloud Platform las soluciones basadas en contenedores de aplicaciones de Linux (específicamente, contenedores de Docker) se ejecutan en máquinas virtuales completas (Compute Engine). Si bien apoyamos los esfuerzos de la comunidad de Docker para fortalecer la pila de contenedores de aplicaciones de Linux, reconocemos que la tecnología es nueva y su área de superficie es amplia. Creemos que, por ahora, los hipervisores completos (máquinas virtuales) proporcionan un área de superficie defendible más compacta. Las máquinas virtuales se diseñaron desde el comienzo para aislar las cargas de trabajo maliciosas y minimizar la probabilidad y el impacto de un error de código. Nuestros clientes pueden estar seguros de que existe una barrera de un hipervisor completo entre ellos y cualquier código externo posiblemente malicioso. Si alcanzamos un punto en el que consideramos que la pila de contenedores de aplicación de Linux es lo suficientemente sólida como para admitir cargas de trabajo multiusuario, lo informaremos a la comunidad. Por ahora, el contenedor de aplicaciones de Linux no reemplaza la máquina virtual. Es una manera de aprovecharlo mucho más. |
Baja | Publicación en el blog de Docker |
Fecha de publicación: 05-06-2014
Última actualización: 09-06-2014
Descripción | Gravedad | Notas |
---|---|---|
Descripción
OpenSSL tiene un problema en el que los mensajes de Este problema se identifica como CVE-2014-0224. El equipo de OpenSSL corrigió el problema y alertó a su comunidad para que actualicen OpenSSL. Impacto en Compute EngineEsta vulnerabilidad afecta a todas las instancias de Compute Engine que usan OpenSSL, incluido Debian, CentOS, Red Hat Enterprise Linux y SUSE Linux Enterprise Server. Para actualizar tus instancias, puedes recrearlas con imágenes nuevas o actualizar sus paquetes de forma manual. Actualización (09-06-2014): Para actualizar tus instancias que ejecutan SUSE Linux Enterprise Server con imágenes nuevas, recréalas con las siguientes versiones de las imágenes o con otras más recientes:
Publicación original: Para actualizar imágenes de Debian y CentOS con imágenes nuevas, recrea tus instancias con cualquiera de las siguientes versiones de las imágenes o con otras más recientes:
Si deseas actualizar OpenSSL de forma manual en tus instancias, ejecuta los siguientes comandos para actualizar los paquetes que correspondan. Para actualizar OpenSSL en instancias con CentOS y RHEL, ejecuta estos comandos: user@my-instance:~$ sudo yum -y update user@my-instance:~$ sudo reboot Para actualizar OpenSSL en instancias con Debian, ejecuta los siguientes comandos: user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot Para asegurarte de que OpenSSL está actualizado en instancias con SUSE Linux Enterprise Server, ejecuta estos comandos: user@my-instance:~$ sudo zypper --non-interactive up user@my-instance:~$ sudo reboot |
Medio | CVE-2014-0224 |
Fecha de publicación: 08-04-2014
Descripción | Gravedad | Notas |
---|---|---|
Descripción
Las implementaciones (1) TLS y (2) DTLS en OpenSSL 1.0.1, antes de la versión 1.0.1g, no administran adecuadamente los paquetes de Heartbeat Extension, lo que permite que los atacantes remotos obtengan información confidencial de la memoria de procesos mediante paquetes fabricados que activan una sobrelectura del búfer, como se refleja en la lectura de claves privadas, en relación con Impacto en Compute EngineEsta vulnerabilidad afecta a todas las instancias de Compute Engine que ejecutan Debian, RHEL y CentOS y que no tienen la versión más actualizada de OpenSSL. Para actualizar tus instancias, puedes recrearlas con imágenes nuevas o actualizar los paquetes de tus instancias de forma manual. Para actualizar tus instancias con imágenes nuevas, recréalas con cualquiera de las siguientes versiones de las imágenes o con otras más recientes:
Si deseas actualizar OpenSSL de forma manual en tus instancias, ejecuta los siguientes comandos para actualizar los paquetes que correspondan. Para asegurarte de que OpenSSL esté actualizado en instancias con CentOS y RHEL, ejecuta estos comandos: user@my-instance:~$ sudo yum update user@my-instance:~$ sudo reboot Para actualizar OpenSSL en instancias con Debian, ejecuta los siguientes comandos: user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get upgrade user@my-instance:~$ sudo reboot Las instancias que ejecutan SUSE Linux no se ven afectadas. Actualización del 14 de abril de 2014: A la luz de los nuevos estudios sobre la extracción de claves con el error Heartbleed, Compute Engine recomienda que los usuarios de Compute Engine creen claves nuevas para todos los servicios de SSL afectados. |
Medio | CVE-2014-0160 |
Fecha de publicación: 07-06-2013
Descripción | Gravedad | Notas |
---|---|---|
DescripciónNota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.
La vulnerabilidad en el string de formato de la función Impacto en Compute Engine
Esta vulnerabilidad afecta a todos los kernels de Compute Engine previos al Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:
|
Medio | CVE-2013-2852 |
Fecha de publicación: 07-06-2013
Descripción | Gravedad | Notas |
---|---|---|
DescripciónNota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.
La vulnerabilidad en el string de formato de la función register_disk de Impacto en Compute Engine
Esta vulnerabilidad afecta a todos los kernels de Compute Engine previos al Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:
|
Medio | CVE-2013-2851 |
Fecha de publicación: 14-05-2013
Descripción | Gravedad | Notas |
---|---|---|
DescripciónNota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.
La función perf_swevent_init de Impacto en Compute Engine
Esta vulnerabilidad afecta a todos los kernels de Compute Engine previos al Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:
|
Alta | CVE-2013-2094 |
Fecha de publicación: 18-02-2013
Descripción | Gravedad | Notas |
---|---|---|
DescripciónNota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.
La condición de carrera en la función ptrace del kernel de Linux antes de la versión 3.7.5 permite que los usuarios locales obtengan privilegios mediante una llamada de sistema Impacto en Compute Engine
Esta vulnerabilidad afecta a los kernels de Compute Engine previos al Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:
|
Medio | CVE-2013-0871 |