Boletines de seguridad

De vez en cuando, es posible que publiquemos boletines de seguridad relacionados con Google Compute Engine. Todos los boletines de seguridad de Google Compute Engine se describen aquí.

Suscríbete a los boletines de seguridad de Compute Engine. Suscribirse

Descripción Gravedad Notas
Fecha de publicación: 14-08-2018; última actualización: 20-08-2018, 17:00 horas PST

Descripción

Intel ha divulgado las siguientes CVE:

Estas CVE se conocen en conjunto como "Falla de terminal L1 (L1TF)".

Estas vulnerabilidades L1TF explotan la ejecución especulativa, ya que atacan la configuración de estructuras de datos en el procesador. "L1" hace referencia a la caché de datos de nivel 1 (L1D), un recurso pequeño del núcleo que se utiliza para acelerar el acceso a la memoria.

Consulta la entrada de blog de Google Cloud para obtener más detalles sobre estas vulnerabilidades y las mitigaciones de Compute Engine.

Impacto sobre Google Compute Engine

La infraestructura de hosting que ejecuta Compute Engine y aísla las cargas de trabajo del cliente entre sí está protegida frente a los ataques conocidos.

Se recomienda a los clientes de Compute Engine que actualicen su imagen para impedir la posible explotación indirecta dentro de los entornos invitados. Esto es importante especialmente para los clientes que ejecutan sus propios servicios de varias instancias en las máquinas virtuales de Compute Engine.

Los clientes de Google Compute Engine pueden actualizar los sistemas operativos invitados en sus instancias con una de las siguientes opciones:

  • Usa las imágenes públicas con parches para recrear las instancias de VM existentes.
  • En las instancias existentes, instala los parches que suministra el proveedor del sistema operativo y reinicia las instancias con parches.

Imágenes con parches y recursos de proveedores

Proporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles, incluido el estado de ambas CVE. Usa estas imágenes para recrear las instancias de VM. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques:

  • Proyecto centos-cloud:
    • centos-7-v20180815
    • centos-6-v20180815
  • Proyecto coreos-cloud:
    • coreos-stable-1800-7-0-v20180816
    • coreos-beta-1855-2-0-v20180816
    • coreos-alpha-1871-0-0-v20180816
  • Proyecto cos-cloud:
    • cos-stable-66-10452-110-0
    • cos-stable-67-10575-66-0
    • cos-beta-68-10718-81-0
    • cos-dev-69-10895-23-0
  • Proyecto debian-cloud:
    • debian-9-stretch-v20180820
  • Proyecto rhel-cloud:
    • rhel-7-v20180814
    • rhel-6-v20180814
  • Proyecto rhel-sap-cloud:
    • rhel-7-sap-apps-v20180814
    • rhel-7-sap-hana-v20180814
  • Proyecto suse-cloud:
    • sles-15-v20180816
    • sles-12-sp3-v20180814
    • sles-11-sp4-v20180816
  • Proyecto suse-sap-cloud:
    • sles-15-sap-v20180816
    • sles-12-sp3-sap-v20180814
    • sles-12-sp2-sap-v20180816
  • Proyecto ubuntu-os-cloud:
    • ubuntu-1804-bionic-v20180814
    • ubuntu-1604-xenial-v20180814
    • ubuntu-1404-trusty-v20180814
    • ubuntu-minimal-1804-bionic-v20180814
    • ubuntu-minimal-1604-xenial-v20180814
  • Proyectos windows-cloud gce-uefi-images y windows-sql-cloud:
    • Todas las imágenes públicas de Windows Server y SQL Server con el número de versión -v201800814 y posteriores incluyen parches.
Alta
Fecha de publicación: 06-08-2018; última actualización: 05-09-2018, 17:00 horas PST

Actualización del 05-09-2018

US-CERT ha divulgado las CVE-2018-5391 el 14-08-2018. Al igual que con la CVE-2018-5390, se trata de una vulnerabilidad de la red en el kernel que aumenta la efectividad de los ataques de denegación del servicio (DoS) contra sistemas vulnerables. La diferencia principal es que la CVE-2018-5391 se puede utilizar en conexiones IP. Actualizamos este boletín para que abarque ambas vulnerabilidades.

Descripción

CVE-2018-5390 ("SegmentSmack") describe una vulnerabilidad de la red en el kernel que aumenta la efectividad de los ataques de denegación del servicio (DoS) contra sistemas vulnerables a través de conexiones de TCP.

CVE-2018-5391 ("FragmentSmack") describe una vulnerabilidad de la red en el kernel que aumenta la efectividad de los ataques de denegación del servicio (DoS) contra sistemas vulnerables a través de conexiones IP.

Impacto sobre Google Compute Engine

La infraestructura de hosting que ejecuta las VM de Compute Engine no está en riesgo. La infraestructura de red que controla el tráfico desde y hacia las VM de Compute Engine está protegida frente a esta vulnerabilidad. Las VM de Compute Engine que solo envían o reciben tráfico de red no confiable a través de balanceadores de carga HTTP(S), SSL o TCP están protegidas frente a esta vulnerabilidad.

Las VM de Compute Engine que ejecutan sistemas operativos sin parches que envían o reciben tráfico de red no confiable directamente o a través de balanceadores de carga de red son vulnerables a este ataque DoS.

Evalúa actualizar tus instancias de VM apenas estén disponibles los parches para sus sistemas operativos.

Los clientes de Google Compute Engine pueden actualizar los sistemas operativos invitados en sus instancias con una de las siguientes opciones:

  • Usa las imágenes públicas con parches para recrear las instancias de VM existentes. Consulta la lista de imágenes públicas con parches que se muestra a continuación.
  • En las instancias existentes, instala los parches que suministra el proveedor del sistema operativo y reinicia las instancias con parches.

Imágenes con parches y recursos de proveedores

Proporcionamos vínculos a la información sobre los parches de cada proveedor de sistemas operativos a medida que estén disponibles.

  • Proyecto centos-cloud (CVE-2018-5390 únicamente):
    • centos-7-v20180815
    • centos-6-v20180815
  • Proyecto coreos-cloud (CVE-2018-5390 y CVE-2018-5391):
    • coreos-stable-1800-7-0-v20180816
    • coreos-beta-1855-2-0-v20180816
    • coreos-alpha-1871-0-0-v20180816
  • Proyecto cos-cloud (CVE-2018-5390 y CVE-2018-5391):
    • cos-stable-65-10323-98-0
    • cos-stable-66-10452-109-0
    • cos-stable-67-10575-65-0
    • cos-beta-68-10718-76-0
    • cos-dev-69-10895-16-0
  • Proyecto debian-cloud (CVE-2018-5390 y CVE-2018-5391):
    • debian-9-stretch-v20180814
  • Proyecto rhel-cloud (CVE-2018-5390 únicamente):
    • rhel-7-v20180814
    • rhel-6-v20180814
  • Proyecto suse-cloud (CVE-2018-5390 y CVE-2018-5391):
    • sles-15-v20180816
    • sles-12-sp3-v20180814
  • Proyecto suse-sap-cloud (CVE-2018-5390 y CVE-2018-5391):
    • sles-15-sap-v20180816
    • sles-12-sp3-sap-v20180814
    • sles-12-sp2-sap-v20180816
  • Proyecto ubuntu-os-cloud (CVE-2018-5390 y CVE-2018-5391):
    • ubuntu-1804-bionic-v20180814
    • ubuntu-1604-xenial-v20180814
    • ubuntu-1404-trusty-v20180814
    • ubuntu-minimal-1804-bionic-v20180814
    • ubuntu-minimal-1604-xenial-v20180814
Alta
Fecha de publicación: 03-01-2018; última actualización: 21-05-2018, 15:00 horas PST

Actualización del 21-05-2018

Intel ha divulgado las CVE-2018-3640 y CVE-2018-3639, variantes 3a y 4 respectivamente. Al igual que con las primeras tres variantes de Spectre y Meltdown, la infraestructura que ejecuta las instancias de VM de Compute Engine está protegida y las instancias de VM de los clientes están aisladas y protegidas entre sí. Además, Compute Engine planea implementar los parches de microcódigo de Intel en nuestra infraestructura, lo que permitirá que los clientes que ejecutan cargas de trabajo no confiables o de varias instancias en una instancia de VM única puedan habilitar mitigaciones adicionales dentro de las VM cuando los proveedores de los sistemas operativos proporcionen esas mitigaciones. Compute Engine implementará los parches de microcódigo una vez que Intel los haya certificado y después de que Compute Engine pruebe y califique los parches para nuestro entorno de producción. Brindaremos cronogramas detallados y actualizaciones en esta página a medida que estén disponibles.

Descripción

Estas CVE son variantes de una clase nueva de ataque que explota la tecnología de ejecución especulativa disponible en varios procesadores. Esta clase de ataque puede otorgar acceso de solo lectura no autorizado a los datos de la memoria en diversas circunstancias.

Google Compute Engine usó la tecnología de migración en vivo de VM para llevar a cabo actualizaciones del sistema de host y del hipervisor, sin afectar a los usuarios, sin necesidad de forzar períodos de mantenimiento ni de realizar reinicios masivos. Sin embargo, todos los sistemas operativos invitados y las versiones deben contar con parches que los protejan frente a esta nueva clase de ataque, independientemente de dónde se ejecuten esos sistemas.

Consulta la entrada de blog sobre Project Zero para obtener detalles técnicos completos sobre este método de ataque. Consulta la entrada de blog sobre la seguridad de Google para obtener detalles completos sobre las mitigaciones de Google, incluida información específica de los productos.

Impacto sobre Google Compute Engine

La infraestructura que ejecuta Compute Engine y aísla las instancias de VM de los clientes entre sí está protegida frente a ataques conocidos. Nuestras mitigaciones evitan el acceso no autorizado a nuestros sistemas de host desde aplicaciones que se ejecuten dentro de las instancias de VM. Estas mitigaciones también evitan el acceso no autorizado entre las instancias de VM que se ejecuten en el mismo sistema de host.

Para evitar el acceso no autorizado dentro de tus instancias de máquina virtual, debes actualizar los sistemas operativos invitados en esas instancias con una de las siguientes opciones:

  • Usa las imágenes públicas con parches para recrear tus instancias de VM existentes. Consulta la lista de imágenes públicas con parches que se muestra a continuación.
  • En las instancias existentes, instala los parches que suministra el proveedor del sistema operativo para tu distribución y reinicia las instancias con parches. Consulta los vínculos a la información sobre los parches de cada proveedor de sistemas operativos a continuación.

Imágenes con parches y recursos de proveedores

Nota: Las imágenes con parches pueden no incluir correcciones para todas las CVE mencionadas en este aviso del boletín de seguridad. Además, las diferentes imágenes pueden incluir métodos distintos para evitar estos tipos de ataques. Comunícate con el proveedor de tu sistema operativo para confirmar cuáles CVE se abordan en sus parches y qué métodos de prevención usan.

  • Proyecto cos-cloud: Incluye parches que evitan los ataques de la variante 2 (CVE-2017-5715) y la variante 3 (CVE-2017-5754). Google usó Retpoline en estas imágenes para mitigar los ataques de la variante 2.
    • cos-stable-63-10032-71-0 o la familia de imágenes cos-stable
  • Proyecto centos-cloud: Información de parches de CentOS
    • centos-7-v20180104 o la familia de imágenes centos-7
    • centos-6-v20180104 o la familia de imágenes centos-6
  • Proyecto coreos-cloud: Información de parches de CoreOS
    • coreos-stable-1576-5-0-v20180105 o la familia de imágenes coreos-stable
    • coreos-beta-1632-1-0-v20180105 o la familia de imágenes coreos-beta
    • coreos-alpha-1649-0-0-v20180105 o la familia de imágenes coreos-alpha
  • Proyecto debian-cloud: Información de parches de Debian
    • debian-9-stretch-v20180105 o la familia de imágenes debian-9
    • debian-8-jessie-v20180109 o la familia de imágenes debian-8
  • Proyecto rhel-cloud: Información de parches de RHEL
    • rhel-7-v20180104 o la familia de imágenes rhel-7
    • rhel-6-v20180104 o la familia de imágenes rhel-6
  • Proyecto suse-cloud: Información de parches de SUSE
    • sles-12-sp3-v20180104 o la familia de imágenes sles-12
    • sles-11-sp4-v20180104 o la familia de imágenes sles-11
  • Proyecto suse-sap-cloud: Información de parches de SUSE
    • sles-12-sp3-sap-v20180104 o la familia de imágenes sles-12-sp3-sap
    • sles-12-sp2-sap-v20180104 o la familia de imágenes sles-12-sp2-sap
  • Proyecto ubuntu-os-cloud: Información de parches de Ubuntu
    • ubuntu-1710-artful-v20180109 o la familia de imágenes ubuntu-1710
    • ubuntu-1604-xenial-v20180109 o la familia de imágenes ubuntu-1604-lts
    • ubuntu-1404-trusty-v20180110 o la familia de imágenes ubuntu-1404-lts
  • Proyectos windows-cloud y windows-sql-cloud:
    • Todas las imágenes públicas de Windows Server y SQL Server con el número de versión -v20180109 y posteriores incluyen parches. Sin embargo, debes realizar las acciones recomendadas que indica Windows en el boletín de asistencia de la Guía de Windows Server para habilitar y verificar estas mitigaciones en ambas instancias existentes y en las instancias nuevas.

Usa estas imágenes para recrear las instancias de VM. Las versiones anteriores de estas imágenes públicas no contienen estos parches y no disminuyen la posibilidad de ataques:

Parches de proveedores de hardware

NVIDIA ofrece controladores con parches para disminuir la posibilidad de ataques contra los sistemas que tienen instalado el software de controlador NVIDIA®. Para conocer qué versiones de los controladores tienen parches, consulta el boletín de seguridad Actualizaciones de seguridad de controladores gráficos de GPU de NVIDIA.

Historial de revisión:

  • 21-05-2018, 14:00 horas PST: Se agregó información sobre 2 variantes nuevas publicadas el 21 de mayo de 2018.
  • 10-01-2018, 15:00 horas PST: Se agregó información sobre las imágenes públicas de Windows Server y SQL Server con parches.
  • 10-01-2018, 10:15 horas PST: Se agregaron varias imágenes de Ubuntu a la lista de imágenes públicas con parches.
  • 10-01-2018, 09:50 horas PST: Se agregaron lineamientos sobre los parches de los proveedores de hardware.
  • Del 03-01-2018 al 09-01-2018: Se realizaron varias revisiones a la lista de imágenes públicas con parches.
Alta
Fecha de publicación: 02-10-2017

Descripción

Dnsmasq proporciona funciones para publicar anuncios de DNS, DHCP y de router, y para iniciar la red. Por lo general, este software está instalado en sistemas tan variados como computadoras de escritorio, distribuciones de Linux (como Ubuntu), routers domésticos y dispositivos de IoT. Dnsmasq es muy usado tanto en Internet abierto como en redes privadas.

Google descubrió siete problemas distintos en el transcurso de nuestras evaluaciones internas y habituales de seguridad. Después de determinar la gravedad de estos problemas, trabajamos en investigar su impacto y su utilidad, y generamos pruebas de concepto internas para cada uno. También trabajamos con Simon Kelly, el encargado de mantenimiento de Dnsmasq, para generar los parches apropiados y mitigar el problema.

Durante nuestra revisión, el equipo descubrió tres ejecuciones de código remotas posibles, una filtración de información y tres negaciones de vulnerabilidades de servicio que afectaban la última versión en el servidor git del proyecto el 5 de septiembre de 2017.

Estos parches se envían de manera ascendente y se confirman en el repositorio de Git del proyecto.

Impacto sobre Google Compute Engine

De manera predeterminada, Dnsmasq solo está instalado en imágenes que usan NetworkManager y se encuentra inactivo. Las siguientes imágenes públicas de Compute Engine tienen instalado Dnsmasq:

  • Ubuntu 16.04, 16.10, 17.04
  • CentOS 7
  • RHEL 7

Sin embargo, es posible que otras imágenes tengan instalado Dnsmasq como una dependencia para otros paquetes. Te recomendamos actualizar las instancias de Debian, Ubuntu, CentOS, RHEL, SLES y OpenSuse para usar la imagen de sistema operativo más reciente. CoreOS y Container-Optimized OS no se ven afectados. Las imágenes de Windows tampoco se ven afectadas.

En el caso de las instancias que ejecutan Debian y Ubuntu, puedes llevar a cabo una actualización mediante la ejecución de los siguientes comandos en tu instancia:


sudo apt-get -y update

sudo apt-get -y dist-upgrade

En instancias de Red Hat Enterprise Linux y CentOS, ejecuta lo siguiente:


sudo yum -y upgrade

En imágenes de SLES y OpenSUSE, ejecuta lo siguiente:


sudo zypper up

En lugar de ejecutar los comandos de actualización manual, puedes recrear instancias de VM con las familias de imágenes del sistema operativo correspondiente.

Alta
Fecha de publicación: 26-10-2016

Descripción

CVE-2016-5195 es una condición de carrera en la manera en que el subsistema de memoria del kernel de Linux administró el quiebre de la situación de COW de las asignaciones privadas de solo lectura en el acceso de escritura.

Un usuario local sin privilegios podría usar esta vulnerabilidad para obtener acceso de escritura a asignaciones de memoria que de lo contrario serían de solo lectura y, de esta manera, aumentar sus privilegios en el sistema.

Para obtener más información, consulta las Preguntas frecuentes sobre Dirty COW.

Impacto sobre Google Compute Engine

Todas las distribuciones y versiones de Linux en Compute Engine se ven afectadas. La mayoría de las instancias se descargarán automáticamente y se instalarán en un kernel más reciente. Sin embargo, se necesita un reinicio para aplicar un parche a tu sistema en ejecución.

Las instancias nuevas o recreadas a partir de las siguientes imágenes de Google Compute Engine incluyen kernels con parches instalados.

  • centos-6-v20161026
  • centos-7-v20161025
  • coreos-alpha-1192-2-0-v20161021
  • coreos-beta-1185-2-0-v20161021
  • coreos-stable-1122-3-0-v20161021
  • debian-8-jessie-v20161020
  • rhel-6-v20161026
  • rhel-7-v20161024
  • sles-11-sp4-v20161021
  • sles-12-sp1-v20161021
  • ubuntu-1204-precise-v20161020
  • ubuntu-1404-trusty-v20161020
  • ubuntu-1604-xenial-v20161020
  • ubuntu-1610-yakkety-v20161020
Alta CVE-2016-5195
Fecha de publicación: 16-02-2016. Última actualización: 22-02-2016

Descripción

CVE-2015-7547 es una vulnerabilidad en la que el agente de resolución del lado del cliente DNS glibc hace que el software sea vulnerable al desbordamiento del búfer en una pila cuando se usa la función de la biblioteca getaddrinfo(). Un atacante puede aprovechar el software con la función para explotar esta vulnerabilidad con nombres de dominio controlados por el atacante, servidores DNS controlados por el atacante o un interceptor.

Para ver más detalles, consulta el Blog de Google Online Security o la base de datos Riesgos y vulnerabilidades comunes (CVE).

Impacto sobre Google Compute Engine

Actualización (22-02-2016):

Ahora, puedes recrear tus instancias con las siguientes imágenes de CoreOS, SLES y OpenSUSE:

  • coreos-alpha-962-0-0-v20160218
  • coreos-beta-899-7-0-v20160218
  • coreos-stable-835-13-0-v20160218
  • opensuse-13-2-v20160222
  • opensuse-leap-42-1-v20160222
  • sles-11-sp4-v20160222
  • sles-12-sp1-v20160222

Actualización (17-02-2016):

Ahora, puedes ejecutar una actualización en instancias de Ubuntu 12.04 LTS, Ubuntu 14.04 LTS y Ubuntu 15.10 mediante la ejecución de los siguientes comandos:

  1. user@my-instance:~$ sudo apt-get -y update
  2. user@my-instance:~$ sudo apt-get -y dist-upgrade
  3. user@my-instance:~$ sudo reboot

Como una alternativa a ejecutar los comandos de actualización manual, ahora puedes recrear sus instancias con las siguientes imágenes nuevas:

  • backports-debian-7-wheezy-v20160216
  • centos-6-v20160216
  • centos-7-v20160216
  • debian-7-wheezy-v20160216
  • debian-8-jessie-v20160216
  • rhel-6-v20160216
  • rhel-7-v20160216
  • ubuntu-1204-precise-v20160217a
  • ubuntu-1404-trusty-v20160217a
  • ubuntu-1510-wily-v20160217

No conocemos métodos que puedan explotar esta vulnerabilidad a través de los agentes de resolución del DNS de Compute Engine con la configuración predeterminada de glibc. De todas formas, deberías aplicar un parche a tus instancias de máquinas virtuales lo antes posible, ya que, como ocurre con todas las vulnerabilidades nuevas, es posible que se descubran nuevos métodos de explotación con el tiempo. Si habilitaste edns0 (inhabilitado de manera predeterminada), deberías inhabilitarlo hasta que se aplique un parche a las instancias.

Boletín original:

Es posible que tu distribución de Linux sea vulnerable. Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad si ejecutan un SO de Linux.

Para aplicar una actualización en las instancias que ejecutan Debian, puedes usar los siguientes comandos en tu instancia:

  1. user@my-instance:~$ sudo apt-get -y update
  2. user@my-instance:~$ sudo apt-get -y dist-upgrade
  3. user@my-instance:~$ sudo reboot

También te recomendamos instalar UnattendedUpgrades para tus instancias de Debian.

En instancias de Red Hat Enterprise Linux, ejecuta lo siguiente:

  • user@my-instance:~$ sudo yum -y upgrade
  • user@my-instance:~$ sudo reboot

Seguiremos actualizando este boletín en la medida que otros encargados del mantenimiento de sistemas operativos publiquen parches para esta vulnerabilidad y Compute Engine publique imágenes de SO actualizadas.

Alta CVE-2015-7547
Fecha de publicación: 19-03-2015

Descripción

CVE-2015-1427 es una vulnerabilidad en la que el motor de secuencias de comandos Groovy de Elasticsearch antes de la versión 1.3.8 y en cualquier versión 1.4.x antes de la 1.4.3, permite que los atacantes eludan el mecanismo de protección de la zona de pruebas y ejecuten comandos arbitrarios en la shell.

Para ver más detalles, consulta la Base de datos nacional de vulnerabilidades (NVD) o la base de datos de Riesgos y vulnerabilidades comunes (CVE).

Impacto sobre Google Compute Engine

Si ejecutas Elasticsearch en instancias de Compute Engine, deberías actualizar tu versión de Elasticsearch a la 1.4.3 o una más reciente. Si ya actualizaste el software de Elasticsearch, estás protegido contra esta vulnerabilidad.

Si aún no actualizas Elasticsearch a la versión 1.4.3 o una más reciente, puedes ejecutar una actualización progresiva.

Si implementaste Elasticsearch con la implementación en un clic en Google Cloud Platform Console, puedes borrar la implementación para quitar las instancias que ejecutan Elasticsearch.

El equipo de Google Cloud Platform está trabajando en una solución para implementar una versión actualizada de Elasticsearch. Sin embargo, la solución aún no está disponible para la función de implementación en un clic en GCP Console.

Alta CVE-2015-1427
Fecha de publicación: 29-01-2015

Descripción

CVE-2015-0235 (Ghost) es una vulnerabilidad de la biblioteca glibc.

Los clientes de App Engine, Cloud Storage, BigQuery y CloudSQL no deben ejecutar acciones. Los servidores de Google se actualizaron y están protegidos contra esta vulnerabilidad.

Es posible que los clientes de Compute Engine deban actualizar sus imágenes de SO.

Impacto sobre Google Compute Engine

Es posible que tu distribución de Linux sea vulnerable. Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad si ejecutan Debian 7, backports de Debian 7, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS o SUSE Linux Enterprise Server 11 SP3.

Esta vulnerabilidad no afecta a Ubuntu 14.04 LTS, Ubuntu 14.10 ni SUSE Linux Enterprise Server 12.

Te recomendamos actualizar tus distribuciones de Linux. Para actualizar las instancias que ejecutan Debian 7, backports de Debian 7 o Ubuntu 12.04 LTS, ejecuta los siguientes comandos en tu instancia:

  1. user@my-instance:~$ sudo apt-get update
  2. user@my-instance:~$ sudo apt-get -y upgrade
  3. user@my-instance:~$ sudo reboot

En instancias de Red Hat Enterprise Linux o CentOS, ejecuta lo siguiente:

  1. user@my-instance:~$ sudo yum -y upgrade
  2. user@my-instance:~$ sudo reboot

En instancias de SUSE Linux Enterprise Server 11 SP3, ejecuta lo siguiente:

  1. user@my-instance:~$ sudo zypper --non-interactive up
  2. user@my-instance:~$ sudo reboot

Como una alternativa a ejecutar los comandos de actualización manual indicados previamente, ahora los usuarios pueden recrear sus instancias con las siguientes imágenes nuevas:

  • debian-7-wheezy-v20150127
  • backports-debian-7-wheezy-v20150127
  • centos-6-v20150127
  • centos-7-v20150127
  • rhel-6-v20150127
  • rhel-7-v20150127
  • sles-11-sp3-v20150127
  • ubuntu-1204-precise-v20150127

Impacto sobre VM administradas por Google

Los usuarios de VM administradas que usan gcloud preview app deploy deben actualizar sus contenedores de Docker base con gcloud preview app setup-managed-vms y volver a implementar cada una de las apps en ejecución con gcloud preview app deploy. Los usuarios que implementan con appcfg no deben ejecutar más acciones y se les actualizará automáticamente.

Alta CVE-2015-0235
Fecha de publicación: 15-10-2014. Actualización: 17-10-2014

Descripción

CVE-2014-3566 (conocido también como POODLE) es una vulnerabilidad en el diseño de SSL versión 3.0. Esta vulnerabilidad permite que un atacante de la red calcule el texto sin formato de las conexiones seguras. Para ver detalles, consulta nuestra publicación en el blog sobre la vulnerabilidad.

Los clientes de App Engine, Cloud Storage, BigQuery y CloudSQL no deben ejecutar acciones. Los servidores de Google se actualizaron y están protegidos contra esta vulnerabilidad. Los clientes de Compute Engine deben actualizar sus imágenes de SO.

Impacto en Google Compute Engine

Actualización (17-10-2014):

Si usas SSLv3, es posible que seas vulnerable. Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad.

Te recomendamos actualizar tus distribuciones de Linux. Para aplicar una actualización en las instancias que ejecutan Debian, puedes usar los siguientes comandos en tu instancia:


user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

En instancias de CentOS:


user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

Como una alternativa a ejecutar los comandos de actualización manual indicados previamente, ahora los usuarios pueden recrear sus instancias con las siguientes imágenes nuevas:

  • centos-6-v20141016
  • centos-7-v20141016
  • debian-7-wheezy-v20141017
  • backports-debian-7-wheezy-v20141017

Actualizaremos el boletín para las imágenes de RHEL y SLES una vez que tengamos las imágenes. Por el momento, los usuarios de RHEL pueden consultar Red Hat directamente para obtener más información.

Boletín original:

Los clientes de Compute Engine deberán actualizar las imágenes de SO de sus instancias para eliminar esta vulnerabilidad. Actualizaremos este boletín de seguridad con instrucciones una vez que haya imágenes de SO nuevas disponibles.

Medio CVE-2014-3566
Fecha de publicación: 24-09-2014. Última actualización: 29-09-2014

Descripción

Existe un error en bash (CVE-2014-6271) que permite la ejecución remota de código a partir del análisis de variables de entorno controladas por el atacante. El vector de explotación más probable es a través de solicitudes HTTP maliciosas compuestas por secuencias de comandos de CGI expuestas en un servidor web. Para obtener más información, consulta la descripción del error.

Los errores de bash se mitigaron para productos de Google Cloud Platform, excepto para las imágenes de SO de invitado de Compute Engine con fecha previa al 26-09-2014. Consulta los siguientes pasos para mitigar los errores en tus imágenes de Compute Engine.

Impacto en Google Compute Engine

Es posible que este error afecte prácticamente a todos los sitios web que usan secuencias de comandos de CGI. Además, es probable que afecte a sitios web que dependen de PHP, Perl, Python, SSI, Java, C++ y servlets similares que alguna vez invocarán comandos del shell a través de llamadas como popen, system, shell_exec o API similares. También podría afectar sistemas que intentan permitir el acceso controlado a los usuarios restringidos mediante mecanismos como la limitación de comandos de SSH o el shell con restricción de bash.

Actualización (29-09-2014):

Como una alternativa a ejecutar los comandos de actualización manual indicados a continuación, ahora los usuarios pueden recrear sus instancias con imágenes que mitigan vulnerabilidades adicionales relacionadas con el error de seguridad de Bash, incluidos CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186 y CVE-2014-7187. Usa las siguientes imágenes nuevas para recrear tus instancias:

  • centos-6-v20140926
  • centos-7-v20140926
  • debian-7-wheezy-v20140926
  • backports-debian-7-wheezy-v20140926
  • rhel-6-v20140926

Actualización (25-09-2014):

Ahora, los usuarios pueden recrear sus instancias en lugar de ejecutar una actualización manual. Para recrear tus instancias, usa las siguientes imágenes que contienen soluciones a este error de seguridad:

  • backports-debian-7-wheezy-v20140924
  • debian-7-wheezy-v20140924
  • rhel-6-v20140924
  • centos-6-v20140924
  • centos-7-v20140924

Para aplicar actualizaciones manuales a imágenes de RHEL y SUSE, puedes ejecutar los siguientes comandos en tus instancias:


# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

Boletín original:

Te recomendamos actualizar tus distribuciones de Linux. Para aplicar una actualización en las instancias que ejecutan Debian, puedes usar los siguientes comandos en tu instancia:


user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

En instancias de CentOS:


user@my-instance:~$ sudo yum -y upgrade

Para ver información detallada, revisa el anuncio para la distribución de Linux correspondiente:

Alta CVE-2014-7169, CVE-2014-6271, CVE-2014-6277, CVE-2014-6278 CVE-2014-7186, CVE-2014-7187
Fecha de publicación: 25-07-2014

Descripción

Elasticsearch Logstash es vulnerable a la inyección de comandos de SO que pueden permitir la modificación y la divulgación de los datos sin autorización. Un atacante puede enviar eventos fabricados a cualquiera de las fuentes de datos de Logstash, lo que le permite ejecutar comandos con los permisos del proceso de Logstash.

Impacto sobre Google Compute Engine

Esta vulnerabilidad afecta a todas las instancias de Compute Engine que ejecutan versiones de Elasticsearch Logstash previas a la 1.4.2 con salidas zabbix o nagios_nsca habilitadas. Para evitar ataques, puedes seguir uno de estos pasos:

  • Actualiza a Logstash 1.4.2.
  • Aplica el parche para las versiones 1.3.x.
  • Inhabilita las salidas zabbix y nagios_nsca.

Obtén más información en el blog de Logstash.

Elasticsearch también recomienda usar un firewall para evitar el acceso remoto de IP que no sean de confianza.

Alta CVE-2014-4326
Fecha de publicación: 18-06-2014

Descripción

Nos gustaría tomarnos un momento para responder a todos los posibles problemas que tienen los clientes sobre la seguridad de los contenedores de Docker cuando ejecutan Google Cloud Platform. Esto incluye a los clientes que usan extensiones de Google App Engine que admiten contenedores de Docker, máquinas virtuales optimizadas para contenedores o el programador Kubernetes de código abierto.

Docker llevó a cabo un gran trabajo en responder al problema y puedes ver la respuesta en su blog aquí. Ten en cuenta que, como señalan en su respuesta, el problema revelado solo se aplica a Docker 0.11, una versión antigua previa a la producción.

Si bien los usuarios se preocupan por la seguridad de los contenedores, nos gustaría señalar que en Google Cloud Platform, las soluciones basadas en contenedores de aplicaciones de Linux (específicamente contenedores de Docker) se ejecutan en máquinas virtuales completas (Google Compute Engine). Si bien apoyamos los esfuerzos de la comunidad de Docker para fortalecer la pila de contenedores de aplicaciones de Linux, reconocemos que nuestra tecnología es nueva y el área de superficie es amplia. Creemos que, por ahora, los hipervisores completos (máquinas virtuales) proporcionan un área de superficie defendible más compacta. Las máquinas virtuales se diseñaron desde el comienzo para aislar las cargas de trabajo maliciosas y minimizar la probabilidad y el impacto de un error de código.

Nuestros clientes pueden estar seguros de que existe una barrera de un hipervisor completa entre ellos y cualquier código externo posiblemente malicioso. Si alcanzamos un punto en el que consideramos que la pila de contenedores de aplicación de Linux es lo suficientemente sólida como para admitir cargas de trabajo multiusuario, lo informaremos a la comunidad. Por ahora, el contenedor de aplicaciones de Linux no reemplaza la máquina virtual. Es una manera de aprovecharlo mucho más.

Baja Publicación en el blog de Docker
Fecha de publicación: 05-06-2014. Última actualización: 09-06-2014

Descripción

OpenSSL tiene un problema en el que los mensajes de ChangeCipherSpec no se vinculan correctamente con la máquina de estados del protocolo de enlace. Esto permite que se inyecten antes en el protocolo de enlace. Un atacante que use un protocolo de enlace fabricado cuidadosamente puede forzar el uso de material de claves vulnerable en clientes y servidores SSL/TLS de OpenSSL. Esto se puede explotar mediante un ataque de interceptor, en el que el atacante puede desencriptar y modificar el tráfico desde el cliente y el servidor atacados.

Este problema se identifica como CVE-2014-0224. El equipo de OpenSSL corrigió el problema y alertó a su comunidad para que actualicen OpenSSL.

Impacto sobre Google Compute Engine

Esta vulnerabilidad afecta a todas las instancias de Compute Engine que usan OpenSSL, incluido Debian, CentOS, Red Hat Enterprise Linux y SUSE Linux Enterprise Server. Para actualizar tus instancias, puedes recrearlas con imágenes nuevas o actualizar los paquetes de tus instancias de forma manual.

Actualización (09-06-2014): Para actualizar tus instancias que ejecutan SUSE Linux Enterprise Server con imágenes nuevas, recréalas con las siguientes versiones de las imágenes o con otras más recientes:

  • sles-11-sp3-v20140609

Publicación original:

Para actualizar imágenes de Debian y CentOS con imágenes nuevas, recrea tus instancias con cualquiera de las siguientes versiones de las imágenes o con otras más recientes:

  • debian-7-wheezy-v20140605
  • backports-debian-7-wheezy-v20140605
  • centos-6-v20140605
  • rhel-6-v20140605

Si deseas actualizar OpenSSL de forma manual en tus instancias, ejecuta los siguientes comandos para actualizar los paquetes que correspondan. Para actualizar OpenSSL en instancias con CentOS y RHEL, ejecuta estos comandos:


user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Para actualizar OpenSSL en instancias con Debian, ejecuta los siguientes comandos:


user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Para asegurarte de que OpenSSL está actualizado en instancias con SUSE Linux Enterprise Server, ejecuta estos comandos:


user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot
Medio CVE-2014-0224
Fecha de publicación: 08-04-2014

Descripción

Las implementaciones (1) TLS y (2) DTLS en OpenSSL 1.0.1, antes de la versión 1.0.1g, no administran adecuadamente los paquetes de Heartbeat Extension, lo que permite que los atacantes remotos obtengan información confidencial de la memoria de procesos mediante paquetes fabricados que activan una sobrelectura del búfer, como se refleja en la lectura de claves privadas, en relación con d1_both.c y t1_lib.c, también conocido como el error Heartbleed.

Impacto en Google Compute Engine

Esta vulnerabilidad afecta a todas las instancias de Compute Engine que ejecutan Debian, RHEL y CentOS y que no tienen la versión más actualizada de OpenSSL. Para actualizar tus instancias, puedes recrearlas con imágenes nuevas o actualizar los paquetes de tus instancias de forma manual.

Para actualizar tus instancias con imágenes nuevas, recréalas con cualquiera de las siguientes versiones de las imágenes o con otras más recientes:

  • debian-7-wheezy-v20140408
  • backports-debian-7-wheezy-v20140408
  • centos-6-v20140408
  • rhel-6-v20140408

Si deseas actualizar OpenSSL de forma manual en tus instancias, ejecuta los siguientes comandos para actualizar los paquetes que correspondan. Para asegurarte de que OpenSSL esté actualizado en instancias con CentOS y RHEL, ejecuta estos comandos:


user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Para actualizar OpenSSL en instancias con Debian, ejecuta los siguientes comandos:


user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

Las instancias que ejecutan SUSE Linux no se ven afectadas.

Actualización del 14 de abril de 2014: A la luz de los nuevos estudios sobre la extracción de claves con el error Heartbleed, Compute Engine recomienda que los usuarios de Compute Engine creen claves nuevas para todos los servicios de SSL afectados.

Medio CVE-2014-0160
Fecha de publicación: 07-06-2013

Descripción

Nota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.

La vulnerabilidad en el string de formato de la función b43_request_firmware en drivers/net/wireless/b43/main.c en el controlador inalámbrico Broadcom B43 del kernel de Linux hasta la versión 3.9.4 permite que los usuarios locales obtengan privilegios si aprovechan el acceso de raíz y agregan especificadores al string de formato en un parámetro modprobe de fwpostfix, lo que genera la construcción inadecuada de un mensaje de error.

Impacto sobre Google Compute Engine

Esta vulnerabilidad afecta a todos los kernels de Google Compute Engine previos al gcg-3.3.8-201305291443. En respuesta, Google Compute Engine dejó obsoletos todos los kernels anteriores y recomienda que los usuarios actualicen sus instancias y sus imágenes para usar el kernel gce-v20130603 de Google Compute Engine. gce-v20130603 contiene el kernel gcg-3.3.8-201305291443, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:

  1. Implementa SSH en tu instancia.
  2. Ejecuta uname -r.
Medio CVE-2013-2852
Fecha de publicación: 07-06-2013

Descripción

Nota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.

La vulnerabilidad en el string de formato de la función register_disk de block/genhd.c en el kernel de Linux hasta la versión 3.9.4 permite que los usuarios locales obtengan privilegios si aprovechan el acceso de raíz y escriben especificadores en el string de formato para /sys/module/md_mod/parameters/new_array a fin de crear un nombre de dispositivo de /dev/md fabricado.

Impacto sobre Google Compute Engine

Esta vulnerabilidad afecta a todos los kernels de Google Compute Engine previos al gcg-3.3.8-201305291443. En respuesta, Google Compute Engine dejó obsoletos todos los kernels anteriores y recomienda que los usuarios actualicen sus instancias y sus imágenes para usar el kernel gce-v20130603 de Google Compute Engine. gce-v20130603 contiene el kernel gcg-3.3.8-201305291443, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:

  1. Implementa SSH en tu instancia.
  2. Ejecuta uname -r.
Medio CVE-2013-2851
Fecha de publicación: 14-05-2013

Descripción

Nota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.

La función perf_swevent_init de kernel/events/core.c en el kernel de Linux antes de la versión 3.8.9 usa un tipo de datos integer incorrecto, lo que permite que los usuarios locales obtengan privilegios mediante una llamada de sistema perf_event_open fabricada.

Impacto sobre Google Compute Engine

Esta vulnerabilidad afecta a todos los kernels de Google Compute Engine previos al gcg-3.3.8-201305211623. En respuesta, Google Compute Engine dejó obsoletos todos los kernels anteriores y recomienda que los usuarios actualicen sus instancias y sus imágenes para usar el kernel gce-v20130521 de Google Compute Engine. gce-v20130521 contiene el kernel gcg-3.3.8-201305211623, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:

  1. Implementa SSH en tu instancia.
  2. Ejecuta uname -r.
Alta CVE-2013-2094
Fecha de publicación: 18-02-2013

Descripción

Nota: Esta vulnerabilidad solo se aplica a los kernels que dejaron de estar disponibles y se quitaron a partir de la versión v1 de la API.

La condición de carrera en la función ptrace del kernel de Linux antes de la versión 3.7.5 permite que los usuarios locales obtengan privilegios mediante una llamada de sistema PTRACE_SETREGS ptrace en una aplicación fabricada.

Impacto sobre Google Compute Engine

Esta vulnerabilidad afecta a todos los kernels de Google Compute Engine previos al 2.6.x-gcg-<date>. En respuesta, Google Compute Engine dejó obsoletos todos los kernels de versiones 2.6.x y recomienda que los usuarios actualicen sus instancias y sus imágenes para usar el kernel gce-v20130225 de Google Compute Engine. gce-v20130225 contiene el kernel 3.3.8-gcg-201302081521, que tiene el parche para esta vulnerabilidad.

Para saber qué versión de kernel usa tu instancia, ejecuta lo siguiente:

  1. Implementa SSH en tu instancia.
  2. Ejecuta uname -r.
Medio CVE-2013-0871
¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Compute Engine Documentation