Nous publions occasionnellement des bulletins de sécurité relatifs à Compute Engine. Tous sont décrits sur cette page.
S'abonner aux bulletins de sécurité Compute Engine
Date de publication : 18-06-2019
Dernière mise à jour : 25-06-2019 6:30 PST
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionRécemment, Netflix a révélé trois failles TCP dans les noyaux Linux : Ces failles CVE sont collectivement désignées sous le nom de NFLX-2019-001. Impact sur Compute EngineL'infrastructure qui héberge Compute Engine est protégée contre cette faille. Les VM Compute Engine exécutant des systèmes d'exploitation Linux non corrigés qui envoient/reçoivent du trafic réseau non approuvé sont vulnérables à cette attaque par déni de service (DoS). Pensez à mettre à jour ces instances de VM dès que des correctifs sont disponibles pour leur système d'exploitation. Les équilibreurs de charge qui interrompent les connexions TCP ont été corrigés. Les instances Compute Engine qui ne reçoivent que du trafic non approuvé via ces équilibreurs de charge ne sont pas vulnérables. Sont inclus les équilibreurs de charge HTTP, ainsi que les équilibreurs de charge proxy SSL et TCP. Les équilibreurs de charge réseau et internes n'interrompent pas les connexions TCP. Les instances Compute Engine non corrigées qui reçoivent du trafic non approuvé via ces équilibreurs de charge sont vulnérables. Images corrigées et ressources des fournisseursVous trouverez ici des liens vers les informations sur les correctifs de chaque fournisseur de système d'exploitation dès qu'elles seront disponibles, y compris l'état de chaque faille CVE. Les versions antérieures de ces images publiques n'incluent pas ces correctifs et ne protègent pas contre les attaques potentielles :
|
Moyen |
Date de publication : 14-05-2019
Dernière mise à jour : 20-05-2019 17:00 PST
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionIntel a divulgué les failles CVE suivantes : Ces failles CVE sont collectivement désignées sous le nom de "Microarchitectural Data Sampling (MDS)". En raison de l'interaction entre l'exécution spéculative et l'état microarchitectural, elles comportent un risque d'exposition des données. Impact sur Compute EngineL'infrastructure hôte qui exécute Compute Engine isole les charges de travail des clients les unes des autres. À moins que vous n'exécutiez du code non approuvé dans vos VM, aucune autre action n'est requise. Pour les clients exécutant du code non approuvé dans leurs propres services mutualisés sur des machines virtuelles Compute Engine, reportez-vous aux recommandations d'atténuation de votre fournisseur d'OS invité, qui peuvent inclure l'utilisation des fonctionnalités Intel d'atténuation du microcode. Nous avons déployé un accès invité direct à la nouvelle fonctionnalité de vidage. Vous trouverez ci-dessous un résumé de la procédure d'atténuation disponible pour les images courantes d'invités. Images corrigées et ressources des fournisseursVous trouverez ici des liens vers les informations sur les correctifs de chaque fournisseur de système d'exploitation dès qu'elles seront disponibles, y compris l'état de chaque faille CVE. Utilisez ces images pour recréer des instances de VM. Les versions antérieures de ces images publiques n'incluent pas ces correctifs et n'offrent aucune protection contre des attaques potentielles :
Container-Optimized OSSi vous utilisez Container-Optimized OS (COS) en tant que système d'exploitation invité, et que vous exécutez des charges de travail mutualisées non approuvées dans votre machine virtuelle, nous vous recommandons de procéder comme suit :
|
Moyen |
Date de publication : 14-08-2018
Dernière mise à jour : 20-08-2018 17:00 PST
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionIntel a divulgué les failles CVE suivantes :
Ces failles CVE sont collectivement désignées sous le nom de "L1 Terminal Fault (L1TF)". Ces failles L1TF exploitent l'exécution spéculative en attaquant la configuration des structures de données au niveau du processeur. "L1" fait référence au cache des données L1D (Level-1 Data), une petite ressource sur le cœur qui permet d'accélérer l'accès à la mémoire. Lisez cet article du blog Google Cloud pour en savoir plus sur ces failles et les protections de Compute Engine. Impact sur Compute EngineL'infrastructure hôte qui exécute Compute Engine et qui isole les charges de travail client les unes des autres est protégée contre les attaques connues. Les clients de Compute Engine sont invités à mettre à jour leurs images pour éviter toute possibilité d'exploitation indirecte au sein de leurs environnements invités. Cette mise à jour est particulièrement importante pour les utilisateurs qui exécutent leurs propres services mutualisés sur des machines virtuelles Compute Engine. Pour mettre à jour les systèmes d'exploitation invités sur leurs instances, les clients de Google Compute Engine peuvent procéder de l'une des façons suivantes :
Images corrigées et ressources des fournisseursVous trouverez ici des liens vers les informations sur les correctifs de chaque fournisseur de système d'exploitation dès qu'elles seront disponibles, y compris l'état de chaque faille CVE. Utilisez ces images pour recréer des instances de VM. Les versions antérieures de ces images publiques n'incluent pas ces correctifs et n'offrent aucune protection contre des attaques potentielles :
|
Élevé |
Date de publication : 06-08-2018
Dernière mise à jour : 05-09-2018 17:00 PST
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 05/09/2018La faille CVE-2018-5391 a été divulguée le 14/08/2018 par US-CERT. Tout comme CVE-2018-5390, il s'agit d'une faille réseau au niveau du noyau, qui rend les attaques de déni de service (DoS) plus efficaces dans les systèmes vulnérables. La principale différence réside dans le fait que la faille CVE-2018-5391 est exploitable sur les connexions IP. Nous avons mis à jour ce bulletin afin de traiter ces deux failles. DescriptionCVE-2018-5390 ("SegmentSmack") fait référence à une faille réseau au niveau du noyau. Celle-ci rend les attaques de déni de service (DoS) plus efficaces dans les systèmes vulnérables, via les connexions TCP. CVE-2018-5391 ("FragmentSmack") fait référence à une faille réseau au niveau du noyau. Celle-ci rend les attaques de déni de service (DoS) plus efficaces dans les systèmes vulnérables, via les connexions IP. Impact sur Compute EngineL'infrastructure hôte qui exécute les VM Compute Engine ne court aucun risque. L'infrastructure réseau qui gère le trafic vers et depuis les VM Compute Engine est protégée contre cette faille. Les VM Compute Engine qui ne font qu'envoyer/recevoir du trafic réseau non approuvé via HTTP(S), SSL ou les équilibreurs de charge TCP sont protégées contre cette faille. Les VM Compute Engine exécutant des systèmes d'exploitation non corrigés qui envoient/reçoivent du trafic réseau non approuvé directement ou via les équilibreurs de charge réseau sont vulnérables à cette attaque par déni de service (DoS). Pensez à mettre à jour vos instances de VM dès que des correctifs sont disponibles pour leurs systèmes d'exploitation. Les clients Compute Engine peuvent mettre à jour les systèmes d'exploitation invités sur leurs instances en suivant l'une de ces méthodes :
Images corrigées et ressources des fournisseursVous trouverez ici des liens vers les informations sur les correctifs de chaque fournisseur de système d'exploitation dès qu'elles seront disponibles.
|
Élevé |
Date de publication : 03-01-2018
Dernière mise à jour : 21-05-2018 15:00 PST
Description | Niveau de gravité | Remarques |
---|---|---|
Mise à jour du 21/05/2018Les failles CVE-2018-3640 et CVE-2018-3639, et leurs variantes respectives 3a et 4, ont été divulguées par Intel. Comme avec les trois premières variantes de Spectre et Meltdown, l'infrastructure qui exécute les instances de VM Compute Engine est protégée et les instances de VM client sont isolées et protégées les unes des autres. De plus, Compute Engine prévoit de déployer les correctifs du microcode d'Intel sur notre infrastructure, ce qui permettra aux clients exécutant des charges de travail non approuvées ou mutualisées au sein d'une même instance de VM d'appliquer d'autres protections au sein des VM dès qu'elles seront mises à disposition par les fournisseurs du système d'exploitation. Compute Engine déploiera les correctifs du microcode une fois qu'Intel les aura certifiés et après que Compute Engine aura testé et validé les correctifs pour notre environnement de production. Nous publierons un calendrier plus précis et les mises à jour sur cette page dès qu'ils seront disponibles. DescriptionCes failles CVE sont des variantes d'une nouvelle catégorie d'attaque exploitant la technologie d'exécution spéculative disponible dans de nombreux processeurs. Cette catégorie d'attaque peut fournir un accès non autorisé en lecture seule aux données de la mémoire dans plusieurs cas. Compute Engine a fait appel à la technologie de migration à chaud des VM pour mettre à jour le système hôte et l'hyperviseur sans impact sur l'utilisateur, sans intervalle de maintenance forcée et sans redémarrage en masse. Cependant, tous les systèmes d'exploitation invités et toutes les versions doivent être corrigés pour les protéger contre cette nouvelle catégorie d'attaque, quel que soit l'emplacement d'exécution de ces systèmes. Lisez cet article du blog Project Zero pour obtenir des informations techniques complètes sur ce mode d'attaque. Lisez cet article du blog Google sur la sécurité pour en savoir plus sur les protections de Google et connaître toutes les informations spécifiques au produit. Impact sur Compute EngineL'infrastructure hôte qui exécute Compute Engine et qui isole les instances de VM client les unes des autres est protégée contre les attaques connues. Nos protections empêchent l'accès non autorisé à nos systèmes hôtes à partir d'applications exécutées dans les instances de VM. Elles empêchent également l'accès non autorisé entre les instances de VM exécutées sur le même système hôte. Pour empêcher tout accès non autorisé au sein de vos instances de VM, vous devez mettre à jour les systèmes d'exploitation invités sur ces instances en procédant de l'une des façons suivantes :
Images corrigées et ressources des fournisseursRemarque : Les images corrigées peuvent ne pas inclure les correctifs pour toutes les failles CVE répertoriées dans ce bulletin de sécurité. De plus, différentes images peuvent inclure différentes méthodes de protection contre ces types d'attaque. Renseignez-vous auprès du fournisseur de votre système d'exploitation pour connaître les failles CVE traitées dans ses correctifs et les méthodes de protection qu'il utilise.
Utilisez ces images pour recréer vos instances de VM. Les versions antérieures de ces images publiques n'incluent pas ces correctifs et ne protègent pas contre les attaques potentielles. Correctifs des fournisseurs de matérielNVIDIA fournit des pilotes corrigés pour protéger des attaques potentielles les systèmes sur lesquels un logiciel pilote NVIDIA® est installé. Pour connaître les versions de pilote corrigées, lisez le bulletin de sécurité sur les mises à jour de sécurité pour les pilotes d'affichage des GPU NVIDIA publié par NVIDIA. Historique des révisions :
|
Élevé |
Date de publication : 02-10-2017
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionLes fonctionnalités de Dnsmasq permettent de fournir des services DNS et DHCP, de diffuser des annonces de routeurs et de démarrer le réseau. Ce logiciel est généralement installé sur des systèmes aussi variés que des distributions Linux pour ordinateur (comme Ubuntu), des routeurs domestiques et des appareils IoT. Dnsmasq est couramment utilisé sur l'Internet ouvert et en interne sur les réseaux privés. Nous avons identifié sept problèmes distincts au cours de nos contrôles internes réguliers de la sécurité. Après avoir déterminé la gravité de ces problèmes, nous avons étudié leur impact et leur exploitabilité, puis nous avons réalisé des démonstrations de faisabilité internes pour chacun d'entre eux. Nous avons également travaillé avec le responsable de Dnsmasq, Simon Kelly, au développement de correctifs appropriés et à l'atténuation des problèmes. Notre examen nous a permis de détecter trois exécutions potentielles de code à distance, une fuite d'informations et trois failles de déni de service affectant la dernière version sur le serveur Git du projet (en date du 5 septembre 2017). Ces correctifs ont été appliqués en amont et ont été validés dans le dépôt Git du projet. Impact sur Compute EnginePar défaut, Dnsmasq n'est installé que sur les images qui utilisent NetworkManager et est désactivé. Les images publiques Compute Engine suivantes disposent de Dnsmasq :
Toutefois, Dnsmasq peut être installé sur d'autres images en tant que dépendance pour d'autres packages. Nous vous recommandons de mettre à jour vos instances Debian, Ubuntu, CentOS, RHEL, SLES et OpenSuse de manière à utiliser la dernière image du système d'exploitation. CoreOS et Container-Optimized OS ne sont pas affectés. Les images Windows ne sont pas concernées non plus. Pour les instances fonctionnant sous Debian et Ubuntu, vous pouvez effectuer une mise à jour en exécutant les commandes suivantes : sudo apt-get -y update sudo apt-get -y dist-upgrade Pour les instances Red Hat Enterprise Linux et CentOS, exécutez la commande suivante : sudo yum -y upgrade Pour les images SLES et OpenSUSE, exécutez la commande suivante : sudo zypper up Au lieu d'exécuter manuellement des commandes de mise à jour, vous pouvez recréer des instances de VM à l'aide des familles d'images du système d'exploitation correspondant. |
Élevé |
Date de publication : 26-10-2016
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionLa faille CVE-2016-5195 correspond à une condition de concurrence détectée dans la manière dont le sous-système de mémoire du noyau Linux gère la faille COW des mappages privés en lecture seule sur l'accès en écriture. Un utilisateur local ne disposant pas de droits d'accès peut exploiter cette faille pour obtenir un accès en écriture à des mappages de mémoire qui ne sont autrement accessibles qu'en lecture seule, et ainsi s'accorder d'autres autorisations sur le système. Pour en savoir plus, consultez les questions fréquentes relatives à la faille Dirty COW. Impact sur Compute EngineToutes les distributions et versions de Linux sur Compute Engine sont concernées. La plupart des instances téléchargent et installent automatiquement un noyau plus récent. Cependant, un redémarrage est nécessaire pour appliquer un correctif à votre système en cours d'exécution. Les noyaux corrigés ont déjà été appliqués aux instances nouvelles ou recréées basées sur les images Compute Engine suivantes.
|
Élevé | CVE-2016-5195 |
Date de publication : 16-02-2016
Dernière mise à jour : 22-02-2016
Description | Niveau de gravité | Remarques |
---|---|---|
Description
La faille CVE-2015-7547 concerne l'outil de résolution DNS glibc côté client qui rend le logiciel vulnérable à un dépassement de mémoire tampon basé sur une pile lors de l'utilisation de la fonction Pour en savoir plus, consultez notre blog sur la sécurité en ligne ou la base de données Common Vulnerabilities and Exposures (CVE). Impact sur Compute EngineMise à jour (22-02-2016) : Vous pouvez désormais recréer vos instances à l'aide des images CoreOS, SLES et OpenSUSE suivantes :
Mise à jour (17-02-2016) : Vous pouvez désormais effectuer une mise à jour sur les instances Ubuntu 12.04 LTS, Ubuntu 14.04 LTS et Ubuntu 15.10 en exécutant les commandes suivantes :
Au lieu d'exécuter manuellement des commandes de mise à jour, vous pouvez désormais recréer vos instances à l'aide des nouvelles images suivantes :
Nous ne connaissons aucune méthode permettant d'exploiter cette faille via les outils de résolution DNS de Compute Engine avec la configuration par défaut de la bibliothèque glibc. Vous devez toutefois appliquer le correctif à vos instances de machines virtuelles dès que possible. En effet, comme pour toute nouvelle faille, les pirates peuvent découvrir de nouvelles méthodes d'exploitation au fil du temps. Si vous avez activé EDNS0 (désactivé par défaut), vous devez le désactiver jusqu'à ce que vous appliquiez le correctif à vos instances. Bulletin initial : Votre distribution Linux est susceptible d'être vulnérable. Les clients Compute Engine doivent mettre à jour les images d'OS de leurs instances pour éliminer tout risque de faille si elles exécutent un système d'exploitation Linux. Pour les instances utilisant Debian, vous pouvez effectuer une mise à jour en exécutant les commandes suivantes :
Nous vous recommandons également d'installer le package UnattendedUpgrades pour vos instances Debian. Pour les instances Red Hat Enterprise Linux :
Nous mettrons à jour ce bulletin lorsque d'autres correctifs seront développés pour cette faille par des mainteneurs de systèmes d'exploitation et lorsque Compute Engine publiera des images d'OS mises à jour. |
Élevé | CVE-2015-7547 |
Date de publication : 19-03-2015
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionLa faille CVE-2015-1427 concerne le moteur de script Groovy d'Elasticsearch, avant la version 1.3.8 et toutes les versions 1.4.x antérieures à la version 1.4.3. Elle permet aux pirates distants de contourner le mécanisme de protection du bac à sable et d'exécuter des commandes d'interface système arbitraires. Pour en savoir plus, consultez le site National Vulnerability Database (NVD) ou la base de données Common Vulnerabilities and Exposures (CVE). Impact sur Compute EngineSi vous exécutez Elasticsearch sur vos instances Compute Engine, vous devez passer à Elasticsearch version 1.4.3 ou ultérieure. Si vous avez déjà mis à jour votre logiciel Elasticsearch, vous êtes protégé contre cette faille. Si vous n'avez pas installé Elasticsearch version 1.4.3 ou ultérieure, vous pouvez effectuer une mise à niveau progressive. Si vous avez utilisé le déploiement par clic pour Elasticsearch dans la console Google Cloud Platform, vous pouvez supprimer le déploiement pour supprimer les instances exécutant Elasticsearch. L'équipe Google Cloud Platform développe actuellement un correctif afin de déployer une version mise à jour d'Elasticsearch. Toutefois, il n'est pas encore disponible pour la fonctionnalité de déploiement par clic dans la console GCP. |
Élevé | CVE-2015-1427 |
Date de publication : 29-01-2015
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionLa faille CVE-2015-0235 (Ghost) concerne la bibliothèque glibc. Aucune action n'est requise de la part des clients App Engine, Cloud Storage, BigQuery et Cloud SQL. Les serveurs de Google ont été mis à jour et sont protégés contre cette faille. Les clients Compute Engine peuvent avoir besoin de mettre à jour leurs images d'OS. Impact sur Compute EngineVotre distribution Linux est susceptible d'être vulnérable. Les clients Compute Engine doivent mettre à jour les images d'OS de leurs instances pour éliminer cette faille si elles exécutent Debian 7, des rétroportages Debian 7, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS ou SUSE Linux Enterprise Server 11 SP3. Cette faille n'affecte pas Ubuntu 14.04 LTS, Ubuntu 14.10 ni SUSE Linux Enterprise Server 12. Nous vous recommandons de mettre à jour vos distributions Linux. Pour les instances Debian 7, de rétroportages Debian 7 ou Ubuntu 12.04 LTS, vous pouvez effectuer une mise à jour en exécutant les commandes suivantes :
Pour les instances Red Hat Enterprise Linux ou CentOS :
Pour les instances de SUSE Linux Enterprise Server 11 SP3 :
Au lieu d'exécuter manuellement les commandes de mise à jour ci-dessus, les utilisateurs peuvent désormais recréer leurs instances à l'aide des nouvelles images suivantes :
Impact sur les VM gérées de GoogleLes utilisateurs de VM gérées qui effectuent leur déploiement avec la commande |
Élevé | CVE-2015-0235 |
Date de publication : 15-10-2014
Dernière mise à jour : 17-10-2014
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionLa faille CVE-2014-3566 (ou POODLE) correspond à un problème dans la conception de SSL version 3.0. Cette vulnérabilité permet à un pirate réseau de calculer le texte brut des connexions sécurisées. Pour en savoir plus, consultez notre article de blog sur cette faille. Aucune action n'est requise de la part des clients App Engine, Cloud Storage, BigQuery et Cloud SQL. Les serveurs de Google ont été mis à jour et sont protégés contre cette faille. Les clients Compute Engine doivent mettre à jour leurs images d'OS. Impact sur Compute EngineMise à jour (17-10-2014) : Vous pouvez être vulnérable si vous utilisez SSLv3. Les clients Compute Engine doivent mettre à jour les images d'OS de leurs instances pour éliminer tout risque de faille. Nous vous recommandons de mettre à jour vos distributions Linux. Pour les instances utilisant Debian, vous pouvez effectuer une mise à jour en exécutant les commandes suivantes : user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot Pour les instances CentOS : user@my-instance:~$ sudo yum -y upgrade user@my-instance:~$ sudo reboot Au lieu d'exécuter manuellement les commandes de mise à jour ci-dessus, les utilisateurs peuvent désormais recréer leurs instances à l'aide des nouvelles images suivantes :
Nous mettrons à jour le bulletin pour les images RHEL et SLES une fois que nous disposerons de ces dernières. En attendant, les utilisateurs de RHEL peuvent consulter directement le site de Red Hat pour en savoir plus. Bulletin initial : Les clients Compute Engine doivent mettre à jour les images d'OS de leurs instances pour éliminer tout risque de faille. Nous mettrons à jour ce bulletin de sécurité en y ajoutant des instructions une fois que les nouvelles images d'OS seront disponibles. |
Moyen | CVE-2014-3566 |
Date de publication : 24-09-2014
Dernière mise à jour : 29-09-2014
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionLe bug (CVE-2014-6271) dans l'interface système bash permet l'exécution de code à distance basée sur l'analyse de toutes les variables d'environnement contrôlées par le pirate. L'exploitation la plus probable de cette faille s'effectue via des requêtes HTTP malveillantes adressées à des scripts CGI exposés sur un serveur Web. Pour en savoir plus, consultez la description du bug. Les risques de bugs bash ont été limités dans les produits Google Cloud Platform, à l'exception des images d'OS invités Compute Engine antérieures au 26/09/2014. Veuillez suivre les instructions ci-dessous pour limiter les risques de bugs pour vos images Compute Engine. Impact sur Compute Engine
Ce bug peut affecter pratiquement tous les sites Web utilisant des scripts CGI. En outre, il est également susceptible de concerner les sites Web qui reposent sur PHP, Perl, Python, SSI, Java, C ++, et des servlets similaires qui invoquent des commandes d'interface système via des appels tels que Mise à jour (29-09-2014) : Au lieu d'exécuter manuellement les commandes de mise à jour ci-dessous, les utilisateurs peuvent désormais recréer leurs instances à l'aide d'images qui limitent les risques de failles liées au bug de sécurité bash, y compris CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186 et CVE-2014-7187. Utilisez les nouvelles images suivantes pour recréer vos instances :
Mise à jour (25-09-2014) : Les utilisateurs peuvent désormais choisir de recréer leurs instances au lieu d'effectuer une mise à jour manuelle. Pour cela, utilisez les nouvelles images suivantes qui contiennent des correctifs pour ce bug de sécurité :
Pour les images RHEL et SUSE, vous pouvez également effectuer des mises à jour manuellement en exécutant les commandes suivantes sur vos instances : # RHEL instances user@my-instance:~$ sudo yum -y upgrade # SUSE instances user@my-instance:~$ sudo zypper --non-interactive up Bulletin initial : Nous vous recommandons de mettre à jour vos distributions Linux. Pour les instances utilisant Debian, vous pouvez effectuer une mise à jour en exécutant les commandes suivantes : user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade Pour les instances CentOS : user@my-instance:~$ sudo yum -y upgrade Pour obtenir des informations détaillées, consultez l'annonce relative à la distribution Linux correspondante :
|
Élevé | CVE-2014-7169, CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187 |
Date de publication : 25-07-2014
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionElasticsearch Logstash est vulnérable à l'injection de commandes du système d'exploitation qui peuvent permettre la modification et la divulgation non autorisées des données. Un pirate peut envoyer des événements spécialement conçus à n'importe quelle source de données Logstash, ce qui lui permet d'exécuter des commandes avec les autorisations du processus Logstash. Impact sur Compute EngineCette faille affecte toutes les instances Compute Engine exécutant des versions d'Elasticsearch Logstash antérieures à la version 1.4.2 avec les sorties zabbix ou nagios_nsca activées. Pour empêcher une attaque, vous pouvez effectuer l'une des opérations suivantes :
Pour en savoir plus, consultez le blog de Logstash. Elasticsearch recommande également d'utiliser un pare-feu pour empêcher l'accès à distance d'adresses IP non fiables. |
Élevé | CVE-2014-4326 |
Date de publication : 18-06-2014
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionNous souhaitons prendre un moment pour répondre aux éventuelles inquiétudes des clients concernant la sécurité des conteneurs Docker lors de leur exécution sur Google Cloud Platform. Cela inclut les clients qui utilisent nos extensions Google App Engine compatibles avec les conteneurs Docker, les machines virtuelles optimisées pour les conteneurs ou le programmeur Open Source Kubernetes. L'équipe Docker s'est efforcée avec succès de répondre au problème, et vous pouvez consulter la solution proposée sur son blog en cliquant ici. Notez que, comme indiqué dans l'article du blog, le problème identifié ne concerne que Docker 0.11, une ancienne version de préproduction. Alors que nous pensons tous à la sécurité des conteneurs, nous souhaitons souligner que, dans Google Cloud Platform, les solutions basées sur des conteneurs d'applications Linux (en particulier les conteneurs Docker) fonctionnent sur des VM complètes (Compute Engine). Bien que nous soutenions les efforts de la communauté Docker pour renforcer la pile de conteneurs d'applications Linux, nous reconnaissons que la technologie est encore nouvelle et que la surface d'exposition est vaste. Nous pensons que, pour le moment, les hyperviseurs complets (machines virtuelles) offrent une surface d'exposition plus compacte et plus défendable. Les machines virtuelles ont été conçues dès le départ pour isoler les charges de travail malveillantes, et limiter les risques et l'impact d'un bug de code. Nos clients peuvent se rassurer : la barrière de sécurité des hyperviseurs complets les protège de tout code tiers potentiellement malveillant. Si nous déterminons par la suite que la pile de conteneurs d'applications Linux est suffisamment fiable pour traiter des charges de travail mutualisées, nous en informerons la communauté. Pour l'instant, le conteneur d'applications Linux ne remplace pas la machine virtuelle. Il s'agit d'un moyen de l'exploiter davantage. |
Faible | Article du blog de Docker |
Date de publication : 05-06-2014
Dernière mise à jour : 09-06-2014
Description | Niveau de gravité | Remarques |
---|---|---|
Description
Le problème OpenSSL concerne les messages Ce problème a été identifié par le code CVE-2014-0224. L'équipe OpenSSL a résolu le problème et a averti sa communauté de la nécessité de mettre à jour OpenSSL. Impact sur Compute EngineCette faille affecte toutes les instances Compute Engine qui utilisent OpenSSL, y compris Debian, CentOS, Red Hat Enterprise Linux et SUSE Linux Enterprise Server. Vous pouvez mettre à jour vos instances en les recréant avec de nouvelles images ou en mettant à jour les packages manuellement. Mise à jour (09-06-2014) : Pour mettre à jour vos instances exécutant SUSE Linux Enterprise Server à l'aide de nouvelles images, recréez vos instances en utilisant la version d'image suivante ou une version ultérieure :
Post d'origine : Pour mettre à jour les instances Debian et CentOS à l'aide de nouvelles images, recréez vos instances en utilisant l'une des versions d'images suivantes ou une version ultérieure :
Pour mettre à jour manuellement OpenSSL sur vos instances, exécutez les commandes suivantes pour mettre à jour les packages appropriés. Pour les instances utilisant CentOS et RHEL, vous pouvez mettre à jour OpenSSL en exécutant les commandes ci-dessous : user@my-instance:~$ sudo yum -y update user@my-instance:~$ sudo reboot Pour les instances utilisant Debian, vous pouvez mettre à jour OpenSSL en exécutant les commandes suivantes : user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot Pour les instances utilisant SUSE Linux Enterprise Server, vous pouvez vous assurer qu'OpenSSL est à jour en exécutant les commandes suivantes : user@my-instance:~$ sudo zypper --non-interactive up user@my-instance:~$ sudo reboot |
Moyen | CVE-2014-0224 |
Date de publication : 08-04-2014
Description | Niveau de gravité | Remarques |
---|---|---|
Description
Les mises en œuvre (1) TLS et (2) DTLS dans OpenSSL 1.0.1, avant la version 1.0.1g, ne gèrent pas correctement les paquets Heartbeat Extension. Cela permet aux pirates distants d'obtenir des informations sensibles à partir de la mémoire de processus via des paquets spécialement conçus qui déclenchent un "buffer over-read" (ou bug Heartbleed) par la lecture des clés privées associées à Impact sur Compute EngineCette faille affecte toutes les instances Debian, RHEL et CentOS de Compute Engine qui ne disposent pas de la version la plus récente d'OpenSSL. Vous pouvez mettre à jour vos instances en les recréant avec de nouvelles images ou en mettant à jour les packages manuellement. Pour mettre à jour vos instances à l'aide de nouvelles images, recréez vos instances en utilisant l'une des versions d'images suivantes ou une version ultérieure :
Pour mettre à jour manuellement OpenSSL sur vos instances, exécutez les commandes suivantes pour mettre à jour les packages appropriés. Pour les instances utilisant CentOS et RHEL, vous pouvez vous assurer qu'OpenSSL est à jour en exécutant les commandes suivantes : user@my-instance:~$ sudo yum update user@my-instance:~$ sudo reboot Pour les instances utilisant Debian, vous pouvez mettre à jour OpenSSL en exécutant les commandes suivantes : user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get upgrade user@my-instance:~$ sudo reboot Les instances utilisant SUSE Linux ne sont pas affectées. Mise à jour le 14 avril 2014 : Au vu de nouvelles recherches sur l'extraction de clés à l'aide du bug Heartbleed, Compute Engine recommande à ses clients de créer de nouvelles clés pour tous les services SSL concernés. |
Moyen | CVE-2014-0160 |
Date de publication : 06-07-2013
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionRemarque : Cette faille concerne uniquement les noyaux qui sont devenus obsolètes et ont été supprimés depuis la version v1 de l'API.
La faille associée au format de chaîne de la fonction Impact sur Compute Engine
Cette faille affecte tous les noyaux Compute Engine antérieurs à Pour connaître la version de noyau utilisée par votre instance, procédez comme suit :
|
Moyen | CVE-2013-2852 |
Date de publication : 06-07-2013
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionRemarque : Cette faille concerne uniquement les noyaux qui sont devenus obsolètes et ont été supprimés depuis la version v1 de l'API.
La faille associée au format de chaîne de la fonction register_disk du fichier Impact sur Compute Engine
Cette faille affecte tous les noyaux Compute Engine antérieurs à Pour connaître la version de noyau utilisée par votre instance, procédez comme suit :
|
Moyen | CVE-2013-2851 |
Date de publication : 14-05-2014
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionRemarque : Cette faille concerne uniquement les noyaux qui sont devenus obsolètes et ont été supprimés depuis la version v1 de l'API.
La fonction perf_swevent_init du fichier Impact sur Compute Engine
Cette faille affecte tous les noyaux Compute Engine antérieurs à Pour connaître la version de noyau utilisée par votre instance, procédez comme suit :
|
Élevé | CVE-2013-2094 |
Date de publication : 18-02-2013
Description | Niveau de gravité | Remarques |
---|---|---|
DescriptionRemarque : Cette faille concerne uniquement les noyaux qui sont devenus obsolètes et ont été supprimés depuis la version v1 de l'API.
La condition de concurrence détectée dans la fonction ptrace des versions de noyau Linux antérieures à la version 3.7.5 permet aux utilisateurs locaux d'obtenir des autorisations via un appel système Impact sur Compute Engine
Cette faille affecte les noyaux Compute Engine Pour connaître la version de noyau utilisée par votre instance, procédez comme suit :
|
Moyen | CVE-2013-0871 |