Compute Engine 관련 보안 게시판은 수시로 업데이트될 수 있습니다. Compute Engine에 해당하는 모든 보안 게시판은 여기에서 확인할 수 있습니다.
발행 일자: 2019년 6월 18일
최종 업데이트: 2019년 6월 25일 T 6:30(PST)
설명 | 심각도 | 참고 |
---|---|---|
설명Netflix는 최근 Linux 커널의 TCP 취약점 3가지를 공개했습니다. 이러한 CVE를 통칭하여 NFLX-2019-001이라고 합니다. Compute Engine에 미치는 영향Compute Engine을 호스팅하는 인프라는 이 취약점으로부터 보호됩니다. 패치가 적용되지 않은 Linux 운영체제를 실행하는 Compute Engine VM에서 신뢰할 수 없는 네트워크 트래픽을 전송/수신하는 경우 이 DoS 공격에 취약합니다. 운영체제의 패치가 제공되는 즉시 VM 인스턴스를 업데이트하는 것이 좋습니다. TCP 연결을 종료하는 부하 분산기에 이 취약점을 해결하는 패치를 적용했습니다. 이 부하 분산기를 통해서만 신뢰할 수 없는 트래픽을 수신하는 Compute Engine 인스턴스는 취약하지 않습니다. 이러한 분산기에는 HTTP 부하 분산기, SSL 프록시 부하 분산기, TCP 프록시 부하 분산기가 있습니다. 네트워크 부하 분산기 및 내부 부하 분산기는 TCP 연결을 종료하지 않습니다. 이 부하 분산기를 통해 신뢰할 수 없는 트래픽을 수신하는 Compute Engine 인스턴스는 패치가 적용되지 않은 경우 취약합니다. 패치가 적용된 이미지 및 공급업체 리소스각 CVE 상태를 포함한 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 해당 패치 정보로 연결되는 링크를 제공합니다. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다.
|
보통 |
발행 일자: 2019년 5월 14일
최종 업데이트: 2019년 5월 20일 T 17:00(PST)
설명 | 심각도 | 참고 |
---|---|---|
설명Intel은 다음과 같은 CVE를 공개했습니다. 이러한 CVE를 통칭하여 마이크로아키텍처 데이터 샘플링(MDS)이라고 합니다. 잠재적으로 데이터가 마이크로아키텍처 상태에서 예측 실행의 상호작용을 통해 이러한 취약점에 노출될 수 있습니다. Compute Engine에 미치는 영향Compute Engine을 실행하는 호스트 인프라는 고객의 워크로드를 서로 격리합니다. VM에서 신뢰할 수 없는 코드를 실행하는 경우가 아니면 추가 조치는 필요하지 않습니다. Compute Engine 가상 머신 내 자체 다중 테넌트 서비스에서 신뢰할 수 없는 코드를 실행하는 고객의 경우 게스트 OS 공급업체에서 권장하는 완화 조치를 참조하세요. 여기에는 Intel의 마이크로코드 완화 기능을 사용하는 것이 포함될 수 있습니다. Google은 게스트 통과 액세스 권한을 새로운 삭제 기능에 배포했습니다. 다음은 일반적인 게스트 이미지에 사용할 수 있는 완화 단계를 요약한 것입니다. 패치가 적용된 이미지 및 공급업체 리소스각 CVE 상태를 포함한 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 해당 패치 정보로 연결되는 링크를 제공합니다. 이 이미지는 VM 인스턴스를 다시 만드는 데 사용됩니다. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다.
컨테이너 최적화 OS컨테이너 최적화 OS(COS)를 게스트 OS로 사용하고 가상 머신에서 신뢰할 수 없는 다중 테넌트 작업 부하를 실행 중인 경우 다음 안내를 따르는 것이 좋습니다.
|
보통 |
발행 일자: 2018년 8월 14일
최종 업데이트: 2018년 8월 20일 T 17:00(PST)
설명 | 심각도 | 참고 |
---|---|---|
설명
이러한 CVE를 통칭하여 'L1 터미널 오류(L1TF)'라고 합니다. 이러한 L1TF 취약점은 프로세서 수준 데이터 구조의 구성을 공격하는 식의 예측 실행 악용 문제를 안고 있습니다. 'L1'은 레벨 1 데이터 캐시(L1D), 즉 메모리 액세스 가속화에 사용되는 소형 온코어(on-core) 리소스를 의미합니다. 이러한 취약점과 Compute Engine의 완화 조치에 대한 자세한 내용은 Google Cloud 블로그 글을 참조하세요. Compute Engine에 미치는 영향Compute Engine을 실행하고 고객 워크로드를 서로 격리하는 호스트 인프라는 알려진 공격으로부터 안전합니다. Compute Engine 고객은 이미지를 업데이트하여 게스트 환경의 간접적 악용 가능성을 막는 것이 좋습니다. 이는 Compute Engine 가상 머신에서 자체 다중 테넌트 서비스를 실행 중인 고객에게 특히 중요한 권장사항입니다. Google Compute Engine 고객은 다음 옵션 중 하나를 사용해 인스턴스의 게스트 운영체제를 업데이트할 수 있습니다.
패치가 적용된 이미지 및 공급업체 리소스CVE 상태를 포함한 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 패치 정보로 연결되는 링크를 제공합니다. 이 이미지를 사용해 VM 인스턴스를 다시 만드세요. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다.
|
높음 |
발행 일자: 2018년 8월 6일
최종 업데이트: 2018년 9월 5일 T 17:00(PST)
설명 | 심각도 | 참고 |
---|---|---|
2018년 9월 5일 업데이트2018년 8월 14일 US-CERT에서 CVE-2018-5391이 공개되었습니다. CVE-2018-5390과 같은 커널 수준의 네트워킹 취약점으로서, 취약 시스템에 대한 서비스 거부(DoS) 공격 효과가 증가한다는 문제를 안고 있습니다. 주요한 차이는 CVE-2018-5391은 IP 연결 시 악용될 수 있다는 점입니다. 두 취약점을 모두 고려할 수 있도록 게시판이 업데이트되었습니다. 설명CVE-2018-5390('SegmentSmack')은 TCP 연결 시 취약 시스템에 대한 서비스 거부(DoS) 공격 효과가 증가하는 커널 수준의 네트워킹 취약점입니다. CVE-2018-5391('FragmentSmack')은 IP 연결 시 취약 시스템에 대한 서비스 거부(DoS) 공격 효과가 증가하는 커널 수준의 네트워킹 취약점입니다. Compute Engine에 미치는 영향Compute Engine VM을 실행하는 호스트 인프라는 위험하지 않습니다. Compute Engine VM을 오가는 트래픽을 처리하는 네트워크 인프라는 이 취약점으로부터 안전합니다. Compute Engine VM에서 HTTP(S), SSL 또는 TCP 부하 분산기를 통해 신뢰할 수 없는 네트워크 트래픽을 전송/수신하는 경우에 한해 이 취약점으로부터 안전합니다. 패치가 적용되지 않은 운영체제를 실행하는 Compute Engine VM에서 신뢰할 수 없는 네트워크 트래픽을 직접 또는 네트워크 부하 분산기를 통해 전송/수신하는 경우 이 DoS 공격에 취약합니다. 운영체제의 패치가 제공되는 즉시 VM 인스턴스를 업데이트하는 것이 좋습니다. Compute Engine 고객은 다음 옵션 중 하나를 사용하여 인스턴스에서 게스트 운영체제를 업데이트할 수 있습니다.
패치가 적용된 이미지 및 공급업체 리소스각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 해당 정보로 연결되는 링크를 제공합니다.
|
높음 |
발행 일자: 2018년 1월 3일
최종 업데이트: 2018년 5월 21일 T 15:00(PST)
설명 | 심각도 | 참고 |
---|---|---|
2018년 5월 21일 업데이트CVE-2018-3640 및 CVE-2018-3639와 각각의 Variants 3a 및 4를 Intel에서 공개했습니다. Spectre 및 Meltdown의 처음 세 변종과 마찬가지로 Compute Engine VM 인스턴스를 실행하는 인프라는 안전하며 고객 VM 인스턴스는 서로 격리되어 보호됩니다. 또한 Compute Engine은 Intel의 마이크로코드 패치를 Google 인프라에 배치할 계획입니다. 이를 통해 단일 VM 인스턴스에서 신뢰할 수 없는 작업 부하나 다중 테넌트 작업 부하를 실행하는 고객은 운영체제 공급업체 및 제공업체에서 완화 조치가 제공되면 추가로 VM 내 완화 효과를 얻을 수 있습니다. Compute Engine은 Intel에서 마이크로코드 패치를 인증하고 Compute Engine에서 프로덕션 환경의 패치 테스트 및 검증을 완료한 후 마이크로코드 패치를 배포할 예정입니다. 자세한 일정과 업데이트가 확보되는 대로 이 페이지에 해당 정보를 제공해 드리겠습니다. 설명이 CVE는 여러 프로세서에서 제공되는 예측 실행 기술을 악용하는 새로운 클래스의 공격 변종입니다. 이 공격 클래스는 다양한 상황에서 메모리 데이터에 대한 무단 읽기 전용 액세스를 허용할 수 있습니다. Compute Engine에서는 VM 라이브 마이그레이션 기술을 사용해 사용자에게 미치는 영향이 없고 강제적인 유지보수 기간이 없으며 대량 재부팅의 필요성 없이 호스트 시스템과 하이퍼바이저 업데이트를 수행해 왔습니다. 하지만 시스템의 실행 장소에 상관없이 새로운 공격 클래스로부터 보호하기 위해서는 모든 게스트 운영체제 및 버전에 패치를 적용해야 합니다. 이 공격 방법에 대한 자세한 기술적 내용은 Project Zero 블로그 게시물을 참조하세요. 모든 제품별 정보를 포함한 Google의 완화 조치에 대한 자세한 내용은 Google 보안 블로그 글을 참조하세요. Compute Engine에 미치는 영향Compute Engine을 실행하고 고객 VM 인스턴스를 서로 격리하는 인프라는 알려진 공격으로부터 안전합니다. Google의 완화 조치는 VM 인스턴스 내부에서 실행되는 애플리케이션의 호스트 시스템 무단 액세스를 방지합니다. 이 완화 조치로 동일 호스트 시스템에서 실행되는 VM 인스턴스 간의 무단 액세스도 방지됩니다. 가상 머신 인스턴스 내의 무단 액세스를 막으려면 다음 옵션 중 하나를 사용하여 해당 인스턴스의 게스트 운영체제를 업데이트해야 합니다.
패치가 적용된 이미지 및 공급업체 리소스참고: 패치가 적용된 이미지가 이 보안 게시판에 나열된 모든 CVE의 수정사항을 포함하지 않을 수도 있습니다. 또한 다른 이미지에 이러한 공격 유형을 막는 다른 방법이 포함되어 있을 수 있습니다. 운영체제 공급업체에 문의해 공급업체의 패치에서 해결하는 CVE와 사용하는 방지 방법을 확인하세요.
이 이미지를 사용해 VM 인스턴스를 다시 만드세요. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다. 하드웨어 공급업체 패치NVIDIA는 패치가 적용된 드라이버를 제공해 NVIDIA® 드라이버 소프트웨어가 설치된 시스템에 예상되는 공격을 완화합니다. 패치가 적용된 드라이버 버전은 NVIDIA의 NVIDIA GPU 디스플레이 드라이버 보안 업데이트 보안 게시판을 참조하세요. 업데이트 기록:
|
높음 |
발행 일자: 2017년 10월 2일
설명 | 심각도 | 참고 |
---|---|---|
설명Dnsmasq DNS, DHCP, 라우터 알림, 네트워크 부팅을 위한 기능을 제공합니다. 이 소프트웨어는 일반적으로 데스크톱 Linux 배포판(Ubuntu 등), 홈 라우터, IoT 기기와 같은 다양한 시스템에 설치할 수 있습니다. Dnsmasq는 개방 인터넷 환경부터 비공개 네트워크 내부까지 폭넓게 사용됩니다. Google은 자체 정기 내부 보안 평가에서 뚜렷한 문제 7가지를 발견했습니다. 이러한 문제의 심각성을 파악한 후 그 영향과 취약점 악용 가능성을 조사한 다음 각각에 대한 내부 개념 증명을 작성했습니다. 또한 문제를 완화할 수 있도록 Dnsmasq 유지 관리 담당자인 Simon Kelly와 함께 적절한 패치를 개발하기 위한 노력을 기울였습니다. 리뷰 팀은 잠재적 원격 코드 실행 3건, 정보 유출 1건, 2017년 9월 5일자 프로젝트 git 서버의 최신 버전에 영향을 미치는 서비스 거부 취약점 3건을 발견했습니다. 패치는 프로젝트 Git 저장소에 업스트림 및 커밋되어 있습니다. Compute Engine에 미치는 영향기본적으로 Dnsmasq는 NetworkManager를 사용하는 이미지에만 설치 가능하며 비활성화되어 있습니다. 다음 Compute Engine 공개 이미지에는 Dnsmasq가 설치되어 있습니다.
하지만 다른 이미지의 경우 Dnsmasq가 다른 패키지에 대한 종속 항목으로 설치될 수 있습니다. 최신 운영체제 이미지를 사용하려면 Debian, Ubuntu, CentOS, RHEL, SLES, OpenSuse 인스턴스를 업데이트하는 것이 좋습니다. CoreOS와 컨테이너 최적화 OS는 영향을 받지 않습니다. Windows 이미지도 영향을 받지 않습니다. Debian과 Ubuntu를 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다. sudo apt-get -y update sudo apt-get -y dist-upgrade Red Hat Enterprise Linux와 CentOS 인스턴스의 경우 다음을 실행하세요. sudo yum -y upgrade SLES와 OpenSUSE 이미지의 경우 다음을 실행하세요. sudo zypper up 수동 업데이트 명령어를 실행하는 대신 해당 운영체제의 이미지 계열을 사용하여 VM 인스턴스를 다시 생성할 수 있습니다. |
높음 |
발행 일자: 2016년 10월 26일
설명 | 심각도 | 참고 |
---|---|---|
설명CVE-2016-5195는 쓰기 권한에서 COW 상황이 발생할 때 Linux 커널의 메모리 하위 시스템이 읽기 전용 비공개 매핑의 손상을 처리하는 방식에서 발견된 경합 상태입니다. 권한이 없는 로컬 사용자는 이 결함을 사용하여 읽기 전용 메모리 매핑에 대한 쓰기 권한을 얻어 시스템에 대한 권한을 늘릴 수 있습니다. 자세한 내용은 Dirty COW FAQ를 참조하세요. Compute Engine에 미치는 영향Compute Engine의 모든 Linux 배포판 및 버전이 영향을 받습니다. 대부분의 인스턴스는 최신 커널을 자동으로 다운로드 및 설치합니다. 하지만 실행 중인 시스템을 패치하려면 재부팅이 필요합니다. 다음 Compute Engine 이미지를 기반으로 하는 새 인스턴스 또는 다시 생성된 인스턴스에는 패치가 적용된 커널이 이미 설치되어 있습니다.
|
높음 | CVE-2016-5195 |
발행 일자: 2016년 2월 16일
최종 업데이트: 2016년 2월 22일
설명 | 심각도 | 참고 |
---|---|---|
설명
CVE-2015-7547은 glibc DNS 클라이언트측 확인자가
소프트웨어를 스택 기반 버퍼 오버플로에 취약하게 만드는
취약성입니다( 자세히 알아보려면 Google 온라인 보안 블로그 또는 Common Vulnerabilities and Exposures(CVE) 데이터베이스를 참조하세요. Compute Engine에 미치는 영향업데이트(2016년 2월 22일): 이제 다음과 같은 CoreOS, SLES, OpenSUSE 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다.
업데이트(2016년 2월 17일): 이제 다음 명령어를 실행하여 Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.10 인스턴스에 대한 업데이트를 수행할 수 있습니다.
수동 업데이트 명령어를 실행하는 대신 다음과 같은 새 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다.
Google은 기본 glibc 구성을 갖춘 Compute Engine의 DNS 확인자를 통해 이 취약점을 악용할 수 있는 방법에 대해서는 알지 못합니다. 하지만 최대한 빨리 가상 머신 인스턴스를 패치해야 합니다. 모든 새로운 취약점이 그러하듯 시간이 지나면서 새로운 악용 방법이 발견될 수 있기 때문입니다. edns0(기본적으로 사용 중지됨)이 사용 설정되어 있다면 인스턴스가 패치될 때까지 사용 중지해야 합니다. 이전 게시판: Linux 배포판은 취약할 수 있습니다. Compute Engine 고객은 Linux OS를 실행하는 경우 이 취약점을 제거하기 위해 인스턴스의 OS 이미지를 업데이트해야 합니다. Debian을 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다.
또한 Debian 인스턴스에 UnattendedUpgrades 를 설치하는 것이 좋습니다. Red Hat Enterprise Linux 인스턴스의 경우:
다른 운영체제 유지 관리자가 이 취약점에 대한 패치를 게시하고 Compute Engine에서 업데이트된 OS 이미지를 출시할 때 이 게시판도 지속적으로 함께 업데이트됩니다. |
높음 | CVE-2015-7547 |
발행 일자: 2015년 3월 19일
설명 | 심각도 | 참고 |
---|---|---|
설명CVE-2015-1427은 버전 1.3.8보다 이전 및 1.4.3보다 이전인 모든 1.4.x 버전에 해당하는 Elasticsearch의 Groovy 스크립팅 엔진에서 원격 공격자가 샌드박스 보호 메커니즘을 우회하고 임의의 셸 명령어를 실행할 수 있게 하는 취약점입니다. 자세히 알아보려면 National Vulnerability Database(NVD) 또는 Common Vulnerabilities and Exposures(CVE) 데이터베이스를 참조하세요. Compute Engine에 미치는 영향Compute Engine 인스턴스에서 Elasticsearch를 실행 중인 경우 Elasticsearch를 버전 1.4.3 이상으로 업그레이드해야 합니다. 이미 Elasticsearch 소프트웨어를 업그레이드했다면 이 취약점으로부터 보호됩니다. Elasticsearch 1.4.3 이상으로 업그레이드하지 않은 경우 롤링 업그레이드를 수행할 수 있습니다. Elasticsearch를 배포할 때 Google Cloud Platform Console의 클릭하여 배포를 사용했다면 Elasticsearch를 실행하는 인스턴스를 삭제하기 위해 배포를 삭제할 수 있습니다. Google Cloud Platform 팀은 Elasticsearch의 업데이트된 버전을 배포하기 위한 해결책을 마련하고 있습니다. 하지만 아직 GCP Console의 클릭하여 배포 기능에 대한 해결책은 마련되지 않았습니다. |
높음 | CVE-2015-1427 |
발행 일자: 2015년 1월 29일
설명 | 심각도 | 참고 |
---|---|---|
설명CVE-2015-0235(Ghost) 는 glibc 라이브러리의 취약점입니다. App Engine, Cloud Storage, BigQuery, CloudSQL 고객은 조치를 취할 필요가 없습니다. Google 서버는 업데이트되어 있으며 이 취약점으로부터 보호됩니다. Compute Engine 고객은 OS 이미지를 업데이트해야 할 수 있습니다. Compute Engine에 미치는 영향Linux 배포판은 취약할 수 있습니다. Debian 7, Debian 7 백포트, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS, SUSE Linux Enterprise Server 11 SP3을 실행 중인 고객이 이 취약점을 제거하려면 인스턴스의 OS 이미지를 업데이트해야 합니다. 이 취약점은 Ubuntu 14.04 LTS, Ubuntu 14.10, SUSE Linux Enterprise Server 12에 영향을 미치지 않습니다. Linux 배포판을 업그레이드하는 것이 좋습니다. Debian 7, Debian 7 백포트, Ubuntu 12.04 LTS를 실행하는 인스턴스의 경우, 인스턴트에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다.
Red Hat Enterprise Linux 또는 CentOS 인스턴스의 경우:
SUSE Linux Enterprise Server 11 SP3 인스턴스의 경우:
위의 수동 업데이트 명령어를 실행하는 대신 사용자는 다음과 같은 새 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다.
Google 관리형 VM에 미치는 영향
|
높음 | CVE-2015-0235 |
발행 일자: 2014년 10월 15일
최종 업데이트: 2014년 10월 17일
설명 | 심각도 | 참고 |
---|---|---|
설명CVE-2014-3566(또는 POODLE)은 SSL 버전 3.0의 설계상의 취약점입니다. 이 취약점으로 인해 네트워크 공격자가 보안 연결의 일반 텍스트를 계산할 수 있습니다. 자세한 내용은 취약점에 대한 블로그 게시물을 참조하세요. App Engine, Cloud Storage, BigQuery, CloudSQL 고객은 조치를 취할 필요가 없습니다. Google 서버는 업데이트되어 있으며 이 취약점으로부터 보호됩니다. Compute Engine 고객은 OS 이미지를 업데이트해야 합니다. Compute Engine에 미치는 영향업데이트(2014년 10월 17일): SSLv3을 사용하는 경우 취약할 수 있습니다. Compute Engine 고객은 이 취약점을 제거하기 위해 인스턴스의 OS 이미지를 업데이트해야 합니다. Linux 배포판을 업그레이드하는 것이 좋습니다. Debian을 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다. user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot CentOS 인스턴스의 경우: user@my-instance:~$ sudo yum -y upgrade user@my-instance:~$ sudo reboot 위의 수동 업데이트 명령어를 실행하는 대신 사용자는 다음과 같은 새 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다.
Google은 이미지가 확보되면 RHEL 및 SLES 이미지에 대한 게시판을 업데이트합니다. 그때까지 RHEL 사용자는 Red Hat에서 직접 자세한 정보를 참조할 수 있습니다. 이전 게시판: Compute Engine 고객은 이 취약점을 제거하기 위해 인스턴스의 OS 이미지를 업데이트해야 합니다. Google은 새 OS 이미지가 확보되면 안내와 함께 이 보안 게시판을 업데이트합니다. |
보통 | CVE-2014-3566 |
발행 일자: 2014년 9월 24일
최종 업데이트: 2014년 9월 29일
설명 | 심각도 | 참고 |
---|---|---|
설명Bash에 공격자가 제어하는 환경 변수를 파싱하여 원격 코드를 실행할 수 있는 버그(CVE-2014-6271)가 있습니다. 악용 가능성이 가장 큰 벡터는 웹 서버에 노출된 CGI 스크립트에 대한 악성 HTTP 요청을 통해 발생합니다. 자세한 내용은 버그 설명 을 참조하세요. 2014년 9월 26일 이전의 Compute Engine 게스트 OS 이미지를 제외한 Google Cloud Platform 제품의 Bash 버그는 완화되었습니다. Compute Engine 이미지의 버그를 완화하는 단계는 아래를 참조하세요. Compute Engine에 미치는 영향
이 버그는 CGI 스크립트를 사용하는 거의 모든 웹사이트에 영향을 미칠 수 있습니다. 또한 이 버그는 업데이트(2014년 9월 29일): 아래의 수동 업데이트 명령어를 실행하는 대신 CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187을 포함한 Bash 보안 버그와 관련된 추가 취약점을 완화하는 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다. 인스턴스를 다시 만들려면 다음과 같은 새 이미지를 사용하세요.
업데이트(2014년 9월 25일): 이제 사용자는 수동 업데이트를 수행하는 대신 인스턴스를 다시 만들 수 있습니다. 인스턴스를 다시 만들려면 이 보안 버그에 대한 수정 사항이 포함된 다음과 같은 새 이미지를 사용하세요.
RHEL 및 SUSE 이미지의 경우, 인스턴스에서 다음 명령어를 실행하여 수동으로 업데이트를 수행할 수도 있습니다. # RHEL instances user@my-instance:~$ sudo yum -y upgrade # SUSE instances user@my-instance:~$ sudo zypper --non-interactive up 이전 게시판: Linux 배포판을 업그레이드하는 것이 좋습니다. Debian을 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다. user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade CentOS 인스턴스의 경우: user@my-instance:~$ sudo yum -y upgrade 자세한 정보는 해당 Linux 배포판에 대한 공지를 검토하세요.
|
높음 | CVE-2014-7169, CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 |
발행 일자: 2014년 7월 25일
설명 | 심각도 | 참고 |
---|---|---|
설명Elasticsearch Logstash는 데이터의 무단 수정 및 공개를 허용할 수 있는 OS 명령어 삽입에 취약합니다. 공격자는 Logstash의 데이터 소스에 조작된 이벤트를 전송하여 Logstash 프로세스의 허가를 받아 명령어를 실행할 수 있습니다. Compute Engine에 미치는 영향이 취약점은 zabbix 또는 nagios_nsca 출력이 사용 설정되고 1.4.2보다 이전 버전인 Elasticsearch Logstash를 실행하는 모든 Compute Engine 인스턴스에 영향을 미칩니다. 공격을 예방하는 방법은 다음과 같습니다.
자세한 내용은 Logstash 블로그를 참조하세요. Elasticsearch는 또한 신뢰할 수 없는 IP를 통한 원격 액세스를 차단하기 위해 방화벽을 사용할 것을 권장합니다. |
높음 | CVE-2014-4326 |
발행 일자: 2014년 6월 18일
설명 | 심각도 | 참고 |
---|---|---|
설명Google Cloud Platform에서 실행하는 Docker 컨테이너의 보안과 관련하여 고객이 제기할 수 있는 우려사항에 답변하고자 합니다. 여기에는 Docker 컨테이너를 지원하는 Google App Engine 확장 프로그램, 컨테이너에 최적화된 가상 머신, 오픈소스 Kubernetes 스케줄러를 사용하는 고객이 포함됩니다. Docker에서는 문제에 적극적으로 답변해 왔으며 Docker의 블로그 답변은 여기에서 확인할 수 있습니다. 블로그 답변에 나와 있듯 밝혀진 문제는 이전의 테스트용 버전인 Docker 0.11에만 적용됩니다. 전 세계의 사용자들이 컨테이너 보안에 대해 고민하지만, Linux 애플리케이션 컨테이너(특히 Docker 컨테이너) 기반 솔루션인 Google Cloud Platform은 완벽한 가상 머신(Compute Engine)에서 실행된다는 점을 명심해야 합니다. Google은 Linux 애플리케이션 컨테이너 스택을 강화하려는 Docker 커뮤니티의 노력을 지원하지만, 이 기술은 신기술이며 공격 면적이 넓은 것으로 인식하고 있습니다. 지금은 완전한 하이퍼바이저(가상 머신)가 더 소형화되고 방어가 용이한 공격 면적을 제공한다고 생각합니다. 가상 머신은 처음부터 악성 작업 부하를 격리하고 코드 버그의 발생 가능성과 영향을 최소화하도록 설계되었습니다. 고객은 악성 코드일 수도 있는 제3자와 고객 사이에 완전한 하이퍼바이저 경계가 존재한다는 사실에 대해 안심할 수 있습니다. Google은 Linux 애플리케이션 컨테이너 스택이 다중 테넌트 작업 부하를 지원할 수 있을 만큼 강력해졌다고 판단되면 커뮤니티에 알릴 것입니다. 현재 Linux 애플리케이션 컨테이너는 가상 머신을 대체하지는 못하며 가상 머신을 더 효과적으로 활용하기 위한 수단에 불과합니다. |
낮음 | Docker 블로그 게시물 |
발행 일자: 2014년 6월 5일
최종 업데이트: 2014년 6월 9일
설명 | 심각도 | 참고 |
---|---|---|
설명
OpenSSL에는 이 문제는 CVE-2014-0224로 알려져 있습니다. OpenSSL팀은 이 문제를 해결했으며 OpenSSL 커뮤니티에 OpenSSL을 업데이트하라는 알림을 보냈습니다. Compute Engine에 미치는 영향이 취약점은 Debian, CentOS, Red Hat Enterprise Linux, SUSE Linux Enterprise Server를 포함하여 OpenSSL을 사용하는 모든 Compute Engine 인스턴스에 영향을 미칩니다. 새 이미지로 인스턴스를 다시 생성하거나 인스턴스에서 패키지를 수동으로 업데이트하여 인스턴스를 업데이트할 수 있습니다. 업데이트(2014년 6월 9일): SUSE Linux Enterprise Server를 실행하는 인스턴스를 새 이미지로 업데이트하려면 다음 버전 이상의 이미지를 사용하여 인스턴스를 다시 생성하세요.
이전 게시물: Debiant 및 CentOS 인스턴스를 새 이미지로 업데이트하려면 다음 버전 이상의 이미지를 사용하여 인스턴스를 다시 생성하세요.
인스턴스에서 OpenSSL을 수동으로 업데이트하려면 다음 명령어를 실행하여 해당 패키지를 업데이트하세요. CentOS 및 RHEL을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 업데이트할 수 있습니다. user@my-instance:~$ sudo yum -y update user@my-instance:~$ sudo reboot Debian을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 업데이트할 수 있습니다. user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot SUSE Linux Enterprise Server를 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 최신 상태로 유지할 수 있습니다. user@my-instance:~$ sudo zypper --non-interactive up user@my-instance:~$ sudo reboot |
보통 | CVE-2014-0224 |
발행 일자: 2014년 4월 8일
설명 | 심각도 | 참고 |
---|---|---|
설명
1.0.1g 이전의 OpenSSL 1.0.1에서 구현된 (1) TLS 및 (2) DTLS는 하트비트 확장 패킷을 제대로 처리하지 못하므로 원격 공격자가 버퍼 오버리드를 유발하는 조작된 패킷을 통해 프로세스 메모리로부터 민감한 정보를 얻을 수 있으며 이는 Compute Engine에 미치는 영향이 취약점은 최신 OpenSSL 버전을 사용하지 않는 모든 Compute Engine Debian, RHEL, CentOS 인스턴스에 영향을 미칩니다. 인스턴스를 새 이미지로 다시 생성하거나 인스턴스에서 패키지를 수동으로 업데이트하여 인스턴스를 업데이트할 수 있습니다. 새 이미지를 사용하여 인스턴스를 업데이트하려면 다음 버전 이상의 이미지를 사용하여 인스턴스를 다시 만듭니다.
인스턴스에서 OpenSSL을 수동으로 업데이트하려면 다음 명령어를 실행하여 해당 패키지를 업데이트하세요. CentOS 및 RHEL을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 최신 상태로 유지할 수 있습니다. user@my-instance:~$ sudo yum update user@my-instance:~$ sudo reboot Debian을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 업데이트할 수 있습니다. user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get upgrade user@my-instance:~$ sudo reboot USE Linux를 실행하는 인스턴스는 영향을 받지 않습니다. 2014년 4월 14일에 업데이트됨: Heartbleed 버그를 통해 키를 추출하기 위한 새로운 연구와 관련하여 Compute Engine은 Compute Engine 고객에게 영향을 받는 SSL 서비스에 사용할 새 키를 만들 것을 권장합니다. |
보통 | CVE-2014-0160 |
발행 일자: 2013년 6월 7일
설명 | 심각도 | 참고 |
---|---|---|
설명참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다.
3.9.4까지의 Linux 커널 Broadcom B43 무선 드라이버에서 Compute Engine에 미치는 영향
이 취약점은 인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요.
|
보통 | CVE-2013-2852 |
발행 일자: 2013년 6월 7일
설명 | 심각도 | 참고 |
---|---|---|
설명참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다.
3.9.4까지의 Linux 커널 Compute Engine에 미치는 영향
이 취약점은 인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요.
|
보통 | CVE-2013-2851 |
발행 일자: 2013년 5월 14일
설명 | 심각도 | 참고 |
---|---|---|
설명참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다.
3.8.9 버전보다 이전인 Linux 커널의 Compute Engine에 미치는 영향
이 취약점은 인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요.
|
높음 | CVE-2013-2094 |
발행 일자: 2013년 2월 18일
설명 | 심각도 | 참고 |
---|---|---|
설명참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다.
3.7.5 버전보다 이전인 Linux 커널의 ptrace 함수에 있는 경합 상태로 인해 로컬 사용자는 조작된 애플리케이션에서 Compute Engine에 미치는 영향
이 취약점은 Compute Engine 커널 인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요.
|
보통 | CVE-2013-0871 |