随時、Google Compute Engine に関連するセキュリティ情報がリリースされる可能性があります。Google Compute Engine に関するすべてのセキュリティ情報については、ここで説明されています。
| 説明 | 重大度 | 備考 |
|---|---|---|
| 公開日: 2016 年 10 月 26 日 | ||
説明CVE-2016-5195 は、Linux カーネルのメモリ サブシステムが、プライベートな読み取り専用メモリ マッピングの COW の破壊に対処する方法で競合状態になっています。 権限のないローカル ユーザーがこの不具合を悪用すると、本来は読み取り専用であるメモリ マッピングへの書き込み権限を取得できるため、システム上で権限が昇格される可能性があります。 詳細は Dirty COW FAQ(英語)をご覧ください。 Google Compute Engine への影響Compute Engine 上のすべての Linux のディストリビューションとバージョンが影響を受けます。ほとんどのインスタンスは新しいカーネルを自動的にダウンロードしてインストールします。ただし、実行中のシステムにパッチを適用するには再起動する必要があります。 新しいインスタンスまたは次の Google Compute Engine イメージを基にして再作成されたインスタンスには、パッチを適用したカーネルがすでにインストールされています。
|
高 | CVE-2016-5195 |
| 公開日: 2016 年 2 月 16 日、最終更新日: 2016 年 2 月 22 日 | ||
説明
CVE-2015-7547 は、 詳細については、Google オンライン セキュリティ ブログまたは CVE(共通脆弱性識別子)データベースをご覧ください。 Google Compute Engine への影響更新(2016 年 2 月 22 日): 次の CoreOS、SLES、OpenSUSE イメージを使用して、インスタンスを再作成できます。
更新(2016 年 2 月 17 日) 次のコマンドを実行して、Ubuntu 12.04 LTS、Ubuntu 14.04 LTS、Ubuntu 15.10 インスタンスに対する更新を実行できます。
コマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。
デフォルトの glibc 設定を使用した Compute Engine の DNS リゾルバを介してこの脆弱性を悪用できる方法は確認されていません。ただし、新たな脆弱性のように、新しい悪用方法が今後発見される可能性もあるため、できる限り早く仮想マシン インスタンスにパッチを適用する必要があります。edns0 を有効にしている場合は(デフォルトでは無効)、インスタンスにパッチを適用するまで無効にしておく必要があります。 元の情報: お使いの Linux ディストリビューションは脆弱である可能性があります。Compute Engine ユーザーは、Linux OS を実行している場合、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。 Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、更新を行うことができます。
また、Debian インスタンスに対して UnattendedUpgrades をインストールすることをお勧めします。 Red Hat Enterprise Linux インスタンスの場合:
他のオペレーティング システム管理者によるこの脆弱性に対するパッチの公開に伴い、また Compute Engine での更新版 OS イメージのリリースに伴い、この情報を引き続き更新します。 |
高 | CVE-2015-7547 |
| 公開日: 2015 年 3 月 19 日 | ||
説明CVE-2015-1427 は、バージョン 1.3.8 よりも前のバージョンと 1.4.3 よりも前のすべての 1.4.x バージョンの Elasticsearch の Groovy スクリプト エンジンではリモートの攻撃者がサンドボックス保護メカニズムをバイパスして任意のシェルコマンドを実行できるという脆弱性です。 詳細については、NVD(脆弱性データベース)または CVE(共通脆弱性識別子)のデータベースをご覧ください。 Google Compute Engine への影響Compute Engine インスタンスで Elasticsearch を実行している場合は、Elasticsearch のバージョンを 1.4.3 以上にアップグレードする必要があります。Elasticsearch ソフトウェアを既にアップグレードしている場合は、この脆弱性から保護されています。 Elasticsearch 1.4.3 以上にアップグレードしていない場合は、ローリング アップグレード実行できます。 Google Cloud Platform Console でクリック デプロイを使用して Elasticsearch をデプロイした場合、デプロイメントを削除して、Elasticsearch を実行しているインスタンスを削除できます。 Google Cloud Platform チームは、Elasticsearch の更新バージョンを展開するために、修正に取り組んでいます。ただし、Cloud Platform Console のクリック デプロイ機能用の修正プログラムはまだ提供されていません。 |
高 | CVE-2015-1427 |
| 公開日: 2015 年 1 月 29 日 | ||
説明CVE-2015-0235(Ghost)は glibc ライブラリの脆弱性です。 App Engine、Cloud Storage、BigQuery、CloudSQL のユーザーは措置を講じる必要はありません。Google のサーバーは更新されており、この脆弱性から保護されています。 Compute Engine のユーザーは OS イメージを更新する必要がある場合があります。 Google Compute Engine への影響お使いの Linux ディストリビューションは脆弱である可能性があります。Compute Engine ユーザーは、Debian 7、Debian 7 バックポート、Ubuntu 12.04 LTS、Red Hat Enterprise Linux、CentOS、SUSE Linux Enterprise Server 11 SP3 を実行している場合、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。 この脆弱性は、Ubuntu 14.04 LTS、Ubuntu 14.10、SUSE Linux Enterprise Server 12 には影響を及ぼしません。 Linux ディストリビューションをアップグレードすることをお勧めします。Debian 7、Debian 7 バックポート、Ubuntu 12.04 LTS を実行しているインスタンスの場合、インスタンスで次のコマンドを実行して更新を行うことができます。
Red Hat Enterprise Linux または CentOS インスタンスの場合:
SUSE Linux Enterprise Server 11 SP3 インスタンスの場合:
上のコマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。
Google 管理対象 VM への影響gcloud preview app deploy を使用している管理対象 VM ユーザーは、gcloud preview app setup-managed-vms でベース Docker コンテナを更新し、gcloud preview app deploy を使用して実行中の各アプリを再展開する必要があります。appcfg で展開しているユーザーは何もする必要はなく、自動的にアップグレードされます。 |
高 | CVE-2015-0235 |
| 公開日: 2014 年 10 月 15 日、更新日: 2014 年 10 月 17 日 | ||
説明CVE-2014-3566(別名 POODLE)は、SSL バージョン 3.0 の設計上の脆弱性です。この脆弱性により、ネットワーク攻撃者はセキュアな接続のプレーンテキストを計算できます。詳細については、この脆弱性に関するブログ投稿をご覧ください。 App Engine、Cloud Storage、BigQuery、CloudSQL のユーザーは措置を講じる必要はありません。Google のサーバーは更新されており、この脆弱性から保護されています。Compute Engine のユーザーは OS イメージを更新する必要があります。 Google Compute Engine への影響更新(2014 年 10 月 17 日): SSLv3 を使用している場合、脆弱である可能性があります。Compute Engine ユーザーは、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。 Linux ディストリビューションをアップグレードすることをお勧めします。Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、更新を行うことができます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot CentOS インスタンスの場合: user@my-instance:~$ sudo yum -y upgrade user@my-instance:~$ sudo reboot 上のコマンドを実行して更新を行う代わりに、次の新しいイメージを使用してインスタンスを再作成することもできます。
RHEL と SLES イメージについては、イメージを用意でき次第、情報を更新します。 その間、RHEL ユーザーは、詳細については Red Hat に直接お問い合わせください。 元の情報: Compute Engine ユーザーは、インスタンスの OS イメージを更新して、この脆弱性を除去する必要があります。新しい OS イメージを用意でき次第、手順を含むこのセキュリティ情報を更新します。 |
中 | CVE-2014-3566 |
| 公開日: 2014 年 9 月 24 日、最終更新日: 2014 年 9 月 29 日 | ||
説明攻撃者が制御する環境変数の解析に基づくリモートコード実行が可能となる bash のバグ(CVE-2014-6271)があります。悪用の手口として最も考えられるのは、ウェブサーバーで公開されている CGI スクリプトに対して行われる悪意のある HTTP リクエストを介する方法です。詳細については、バグに関する説明をご覧ください。 この bash のバグは、20140926 よりも前の日付の Compute Engine ゲスト OS イメージを除く、Google Cloud Platform 製品に対しては緩和されています。お使いの Compute Engine イメージのバグを緩和するための手順については、以下を参照してください。 Google Compute Engine への影響
このバグは、CGI スクリプトを使用する実質的にすべてのウェブサイトに影響を及ぼす可能性があります。また、PHP、Perl、Python、SSI、Java、C++ に依存するウェブサイトに加え、 更新(2014 年 9 月 29 日): 下のコマンドを実行して更新を行う代わりに、bash のセキュリティ上のバグに関連する追加の脆弱性を緩和するイメージを使用してインスタンスを再作成することもできます。これには以下の脆弱性が含まれます。 CVE-2014-7169、 CVE-2014-6277、 CVE-2014-6278、 CVE-2014-7186、 CVE-2014-7187 次の新しいイメージを使用して、インスタンスを再作成してください。
更新(2014 年 9 月 25 日): ユーザーは、コマンドを実行して更新を行う代わりに、インスタンスを再作成することを選択できます。インスタンスを再作成するには、このセキュリティ バグに対する修正を含む次の新しいイメージを使用します。
RHEL と SUSE イメージについては、インスタンスで次のコマンドを実行して、更新を手動で行うこともできます。 # RHEL instances user@my-instance:~$ sudo yum -y upgrade # SUSE instances user@my-instance:~$ sudo zypper --non-interactive up 元の情報: Linux ディストリビューションをアップグレードすることをお勧めします。Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、更新を行うことができます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade CentOS インスタンスの場合: user@my-instance:~$ sudo yum -y upgrade 詳細については、各 Linux ディストリビューションに関する告知を確認してください。
|
高 | CVE-2014-7169、 CVE-2014-6271、 CVE-2014-6277、 CVE-2014-6278、 CVE-2014-7186、 CVE-2014-7187 |
| 公開日: 2014 年 7 月 25 日 | ||
説明Elasticsearch Logstash は、不正な変更やデータの開示を可能にする可能性がある OS コマンド インジェクションの脆弱性です。攻撃者は、細工したイベントを Logstash のデータソースに送信して、Logstash プロセスの権限でコマンドを実行できます。 Google Compute Engine への影響この脆弱性は、zabbix または nagios_nsca の出力が有効になった 1.4.2 よりも前の Elasticsearch Logstash のバージョンを実行しているすべての Compute Engine インスタンスに影響を及ぼします。攻撃を防ぐために、次のいずれかを実行できます。
詳細については、Logstash ブログをご覧ください。 Elasticsearch では、ファイアウォールを使用して信頼できない IP によるリモート アクセスを防ぐことも推奨しています。 |
高 | CVE-2014-4326 |
| 公開日: 2014 年 6 月 18 日 | ||
説明Google Cloud Platform 上での実行時における Docker コンテナのセキュリティに関するユーザーのあらゆる懸念に対応できるよう、現在取り組み中です。これには、Docker コンテナ、コンテナに最適化された仮想マシン、またはオープンソースの Kubernetes スケジューラをサポートする Google App Engine の拡張機能を使用するユーザーが含まれます。 Docker はこの問題に適切に対応しており、そのブログ記事をここで確認できます。記事で説明されているように、今日明らかになった問題は製品版前の古いバージョンである Docker 0.11 にのみ該当することに注意してください。 コンテナのセキュリティについて世界中で検討されていますが、Google Cloud Platform では、Linux アプリケーション コンテナに基づくソリューション(特に Docker コンテナ)は完全な仮想マシン(Google Compute Engine)で実行されることにご注意ください。当社では、Linux アプリケーション コンテナ スタックを強化する Docker コミュニティの努力を支持していますが、このテクノロジーは新しく、境界面が大きいことを認識しています。現時点では、完全なハイパーバイザ(仮想マシン)はよりコンパクトで防御しやすい境界面を提供すると当社は考えています。仮想マシンは、もともと、悪意のあるワークロードを分離し、コードバグの可能性と影響を最小限に抑えるように設計されています。 当社のお客様は、第三者、そして潜在的に悪意のあるコードとの間に完全なハイパーバイザ境界が存在することを確実に確保できます。Linux アプリケーション コンテナ スタックが十分に堅牢でマルチテナント ワークロードをサポートできると考えられる段階になった場合には、当社はコミュニティに報告します。現時点では、Linux アプリケーション コンテナは仮想マシンに代わるものではありません。あくまでも機能を拡張する方法です。 |
低 | Docker ブログの投稿 |
| 公開日: 2014 年 6 月 5 日、最終更新日: 2014 年 6 月 9 日 | ||
説明
OpenSSL には、 この問題は CVE-2014-0224 として識別されています。OpenSSL チームは、この問題を修正済みであり、OpenSSL を更新するよう OpenSSL コミュニティに注意を喚起しています。 Google Compute Engine への影響この脆弱性は、Debian、CentOS、Red Hat Enterprise Linux、SUSE Linux Enterprise Server など、OpenSSL を使用するすべての Compute Engine インスタンスに影響を及ぼします。新しいイメージでインスタンスを再作成するか、インスタンスのパッケージを手動で更新することで、インスタンスを更新できます。 更新(2014 年 6 月 9 日): 新しいイメージで SUSE Linux Enterprise Server を実行しているインスタンスを更新するには、次のバージョン以上のイメージを使用して、インスタンスを再作成します。
元の投稿: 新しいイメージを使用して Debian インスタンスと CentOS インスタンスを更新するには、次のバージョン以上のいずれかのイメージを使用してインスタンスを再作成します。
インスタンス上の OpenSSL を手動で更新するには、次のコマンドを実行して適切なパッケージを更新します。CentOS と RHEL を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を更新できます。 user@my-instance:~$ sudo yum -y update user@my-instance:~$ sudo reboot Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、OpenSSL を更新できます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot SUSE Linux Enterprise Server を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を最新の状態にすることができます。 user@my-instance:~$ sudo zypper --non-interactive up user@my-instance:~$ sudo reboot |
中 | CVE-2014-0224 |
| 公開日: 2014 年 4 月 8 日 | ||
説明
1.0.1g よりも前の OpenSSL 1.0.1 での(1)TLS と(2)DTLS の実装では、Heartbeat Extension パケットが適切に処理されません。これは Heartbleed バグとも呼ばれる脆弱性で、 Google Compute Engine への影響この脆弱性は、OpenSSL の最新バージョンを使用していないすべての Compute Engine Debian、RHEL、CentOS インスタンスに影響を及ぼします。新しいイメージでインスタンスを再作成するか、インスタンスのパッケージを手動で更新することで、インスタンスを更新できます。 新しいイメージを使用してインスタンスを更新するには、次のバージョン以上のいずれかのイメージを使用してインスタンスを再作成します。
インスタンス上の OpenSSL を手動で更新するには、次のコマンドを実行して適切なパッケージを更新します。CentOS と RHEL を実行するインスタンスの場合、インスタンスでこれらのコマンドを実行して、OpenSSL を最新の状態にすることができます。 user@my-instance:~$ sudo yum update user@my-instance:~$ sudo reboot Debian を実行するインスタンスの場合、インスタンスで次のコマンドを実行して、OpenSSL を更新できます。 user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get upgrade user@my-instance:~$ sudo reboot SUSE Linux を実行しているインスタンスは影響を受けません。 2014 年 4 月 14 日に更新: Heartbleed バグを利用したキーの抽出に関する新たな調査に基づいて、Compute Engine では、影響を受けるすべての SSL サービスについて新しいキーを作成するよう Compute Engine ユーザーに推奨しています。 |
中 | CVE-2014-0160 |
| 公開日: 2013 年 6 月 7 日 | ||
説明注: この脆弱性は、API バージョン v1 以降では廃止されて削除されているカーネルにのみ該当します。
3.9.4 までの Linux カーネルの Broadcom B43 ワイヤレス ドライバの Google Compute Engine への影響
この脆弱性は、 あなたのインスタンスが使用しているカーネルのバージョンを確認するには:
|
中 | CVE-2013-2852 |
| 公開日: 2013 年 6 月 7 日 | ||
説明注: この脆弱性は、API バージョン v1 以降では廃止されて削除されているカーネルにのみ該当します。
3.9.4 までの Linux カーネルの Google Compute Engine への影響
この脆弱性は、 あなたのインスタンスが使用しているカーネルのバージョンを確認するには:
|
中 | CVE-2013-2851 |
| 公開日: 2013 年 5 月 14 日 | ||
説明注: この脆弱性は、API バージョン v1 以降では廃止されて削除されているカーネルにのみ該当します。
3.8.9 よりも前の Linux カーネルの Google Compute Engine への影響
この脆弱性は、 あなたのインスタンスが使用しているカーネルのバージョンを確認するには:
|
高 | CVE-2013-2094 |
| 公開日: 2013 年 2 月 18 日 | ||
説明注: この脆弱性は、API バージョン v1 以降では廃止されて削除されているカーネルにのみ該当します。
3.7.5 よりも前の Linux カーネルの ptrace 機能の競合状態により、細工したアプリケーションでの Google Compute Engine への影響
この脆弱性は、Google Compute Engine カーネル あなたのインスタンスが使用しているカーネルのバージョンを確認するには:
|
中 | CVE-2013-0871 |
