보안 게시판

Compute Engine 관련 보안 게시판은 수시로 업데이트될 수 있습니다. Compute Engine에 해당하는 모든 보안 게시판은 여기에서 확인할 수 있습니다.

이 XML 피드를 사용하여 Compute Engine 보안 게시판을 구독합니다.

GCP-2025-058

게시됨: 2025년 10월 20일

설명

설명 심각도 참고

설명	심각도	참고
AMD Zen 5 프로세서(Turin)의 RDSEED 명령어에서 결함이 발견되었습니다. 이 명령어는 암호화 난수를 생성하는 데 사용됩니다. 특정 시스템 부하 조건에서 RDSEED의 16비트 및 32비트 버전이 자동으로 실패할 수 있으며, 이로 인해 난수 생성에 의존하는 애플리케이션이 손상될 수 있습니다. RDSEED 64비트 버전을 사용하는 고객은 영향을 받지 않습니다. 어떻게 해야 하나요? AMD에서 취약점을 조사하고 있습니다. 64비트 Linux 커널은 안전한 64비트 버전의 RDSEED 명령어를 사용하며 이는 `/dev/[u]random`에서 가져온 난수를 제공합니다. 이러한 임의의 숫자는 이 취약점의 영향을 받지 않습니다. RDSEED 명령어를 사용하여 난수를 자체적으로 합성하는 애플리케이션 코드가 있는 경우 명령어의 16비트 및 32비트 버전은 안전하지 않습니다. 명령어의 64비트 버전은 안전합니다. 해결되는 취약점은 무엇인가요? 이 취약점으로 인해 공격자는 RDSEED가 자동으로 실패하도록 할 수 있으며, 이로 인해 애플리케이션에서 난수 생성이 손상될 수 있습니다.	높음

AMD Zen 5 프로세서(Turin)의 RDSEED 명령어에서 결함이 발견되었습니다. 이 명령어는 암호화 난수를 생성하는 데 사용됩니다. 특정 시스템 부하 조건에서 RDSEED의 16비트 및 32비트 버전이 자동으로 실패할 수 있으며, 이로 인해 난수 생성에 의존하는 애플리케이션이 손상될 수 있습니다. RDSEED 64비트 버전을 사용하는 고객은 영향을 받지 않습니다.

어떻게 해야 하나요?

AMD에서 취약점을 조사하고 있습니다.

64비트 Linux 커널은 안전한 64비트 버전의 RDSEED 명령어를 사용하며 이는 /dev/[u]random에서 가져온 난수를 제공합니다. 이러한 임의의 숫자는 이 취약점의 영향을 받지 않습니다.

RDSEED 명령어를 사용하여 난수를 자체적으로 합성하는 애플리케이션 코드가 있는 경우 명령어의 16비트 및 32비트 버전은 안전하지 않습니다. 명령어의 64비트 버전은 안전합니다.

해결되는 취약점은 무엇인가요?

이 취약점으로 인해 공격자는 RDSEED가 자동으로 실패하도록 할 수 있으며, 이로 인해 애플리케이션에서 난수 생성이 손상될 수 있습니다.

높음

GCP-2025-044

게시됨: 2025년 8월 12일

설명

설명	심각도	참고
Intel은 Google에 두 가지 새로운 보안 취약점을 고지했습니다. CVE-2025-21090: 이 취약점은 다음 Intel 프로세서에 영향을 미칩니다. Sapphire Rapids: C3, Z3, H3, A3, v5p VM 제품군 Emerald Rapids: N4, C4, M4, A3 Ultra, A4 VM 제품군 Granite Rapids: N4, C4 VM 제품군 CVE-2025-22840: 이 취약점은 다음 Intel 프로세서에 영향을 미칩니다. Granite Rapids: N4, C4 VM 제품군 어떻게 해야 하나요? 두 취약점 모두 고객이 별도의 조치를 취하지 않아도 됩니다. Google Cloud에서 표준 및 계획된 유지보수 기간 동안 고객님의 시스템을 선제적으로 업데이트할 예정입니다. 현재까지 이에 대한 취약점 공격의 증거는 Google에서 발견되거나 보고되지 않았습니다. 해결되는 취약점은 무엇인가요? 이 취약점(CVE-2025-21090)을 통해 권한이 없는 행위자가 AVX CPU 명령어와 함께 AMX CPU 명령어를 사용하여 호스트 머신을 작동 불능 상태로 만들 수 있습니다. 이 취약점(CVE-2025-22840)을 이용하면 권한이 없는 행위자가 prefetchit CPU 명령어를 사용하여 액세스할 수 없는 메모리 콘텐츠를 로드할 수 있으며, 이로 인해 원격 코드 실행이 발생할 수 있습니다.	보통	CVE-2025-21090 CVE-2025-22840

심각도

참고

Intel은 Google에 두 가지 새로운 보안 취약점을 고지했습니다.

CVE-2025-21090: 이 취약점은 다음 Intel 프로세서에 영향을 미칩니다.

Sapphire Rapids: C3, Z3, H3, A3, v5p VM 제품군
Emerald Rapids: N4, C4, M4, A3 Ultra, A4 VM 제품군
Granite Rapids: N4, C4 VM 제품군

CVE-2025-22840: 이 취약점은 다음 Intel 프로세서에 영향을 미칩니다.

Granite Rapids: N4, C4 VM 제품군

어떻게 해야 하나요?

두 취약점 모두 고객이 별도의 조치를 취하지 않아도 됩니다. Google Cloud에서 표준 및 계획된 유지보수 기간 동안 고객님의 시스템을 선제적으로 업데이트할 예정입니다. 현재까지 이에 대한 취약점 공격의 증거는 Google에서 발견되거나 보고되지 않았습니다.

해결되는 취약점은 무엇인가요?

이 취약점(CVE-2025-21090)을 통해 권한이 없는 행위자가 AVX CPU 명령어와 함께 AMX CPU 명령어를 사용하여 호스트 머신을 작동 불능 상태로 만들 수 있습니다.

이 취약점(CVE-2025-22840)을 이용하면 권한이 없는 행위자가 prefetchit CPU 명령어를 사용하여 액세스할 수 없는 메모리 콘텐츠를 로드할 수 있으며, 이로 인해 원격 코드 실행이 발생할 수 있습니다.

보통

GCP-2025-042

게시됨: 2025년 8월 11일

설명

설명	심각도	참고
연구원은 Skylake, Broadwell, Haswell 마이크로아키텍처를 기반으로 하는 CPU를 비롯한 특정 Intel CPU에서 보안 취약점을 발견했습니다. 이 취약점을 통해 공격자는 액세스 권한이 없는 CPU의 L1 캐시에서 민감한 정보를 직접 읽을 수 있습니다. 이 취약점은 2018년 CVE-2018-3646에서 처음 공개되었습니다. 이 취약점이 발견되자마자 Google은 알려진 위험을 해결하는 완화 조치를 즉시 구현했습니다. 취약성 및 초기 수정사항에 관한 커뮤니케이션은 당시에 게시되었습니다. 그 이후로 Google은 잔여 위험을 조사하고 업스트림 Linux 커뮤니티와 협력하여 이 위험을 해결해 왔습니다. 최근 Google은 학계의 보안 연구원과 협력하여 최신 CPU 보안 완화 및 2018년에는 고려되지 않았던 잠재적 공격 기법을 평가했습니다. Google에서는 문제를 완화하기 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정사항을 적용했습니다. 어떻게 해야 하나요? 고객이 별도의 조치를 취하지 않아도 됩니다. 완화 조치가 이미 Google 서버 Fleet에 적용되었습니다. 해결되는 취약점은 무엇인가요? 자세한 내용은 Intel 권고 INTEL-SA-00161 및 CVE-2018-3646을 참조하세요.	높음	CVE-2018-3646

심각도

참고

연구원은 Skylake, Broadwell, Haswell 마이크로아키텍처를 기반으로 하는 CPU를 비롯한 특정 Intel CPU에서 보안 취약점을 발견했습니다. 이 취약점을 통해 공격자는 액세스 권한이 없는 CPU의 L1 캐시에서 민감한 정보를 직접 읽을 수 있습니다.

이 취약점은 2018년 CVE-2018-3646에서 처음 공개되었습니다. 이 취약점이 발견되자마자 Google은 알려진 위험을 해결하는 완화 조치를 즉시 구현했습니다. 취약성 및 초기 수정사항에 관한 커뮤니케이션은 당시에 게시되었습니다. 그 이후로 Google은 잔여 위험을 조사하고 업스트림 Linux 커뮤니티와 협력하여 이 위험을 해결해 왔습니다.

최근 Google은 학계의 보안 연구원과 협력하여 최신 CPU 보안 완화 및 2018년에는 고려되지 않았던 잠재적 공격 기법을 평가했습니다.

Google에서는 문제를 완화하기 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정사항을 적용했습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. 완화 조치가 이미 Google 서버 Fleet에 적용되었습니다.

해결되는 취약점은 무엇인가요?

자세한 내용은 Intel 권고 INTEL-SA-00161 및 CVE-2018-3646을 참조하세요.

높음

CVE-2018-3646

GCP-2025-031

게시됨: 2025년 6월 10일

설명

설명	심각도	참고
신뢰할 수 있는 컴퓨팅 그룹(TCG)에서 가상 TPM(vTPM)을 사용하는 보안 VM에 영향을 미치는 신뢰 플랫폼 모듈(TPM) 소프트웨어 취약점을 보고했습니다. 이 취약점을 통해 인증된 로컬 공격자가 민감한 vTPM 데이터를 읽거나 vTPM 가용성에 영향을 줄 수 있습니다. vTPM 액세스는 일반적으로 권한이 부여됩니다. 하지만 일부 구성에서는 더 광범위한 vTPM 액세스를 허용할 수 있습니다. 어떻게 해야 하나요? 고객이 별도의 조치를 취하지 않아도 됩니다. Google Cloud에서 표준 및 계획된 유지보수 기간 동안 고객님의 시스템을 선제적으로 업데이트할 예정입니다. 하지만 관리 권한(루트) 사용자로 vTPM 액세스를 제한할 수 있습니다. 이렇게 하면 보안 VM에 대한 위험을 줄일 수 있습니다. 해결되는 취약점은 무엇인가요? 취약점 CVE-2025-2884를 통해 vTPM 인터페이스 액세스 권한이 있는 로컬 공격자가 악성 명령어를 전송할 수 있습니다. 이러한 명령어는 범위 외(OOB) vTPM 메모리를 읽는 불일치를 악용합니다. 이 작업으로 인해 민감한 정보가 노출될 수 있습니다.	높음	CVE-2025-2884

심각도

참고

신뢰할 수 있는 컴퓨팅 그룹(TCG)에서 가상 TPM(vTPM)을 사용하는 보안 VM에 영향을 미치는 신뢰 플랫폼 모듈(TPM) 소프트웨어 취약점을 보고했습니다. 이 취약점을 통해 인증된 로컬 공격자가 민감한 vTPM 데이터를 읽거나 vTPM 가용성에 영향을 줄 수 있습니다.

vTPM 액세스는 일반적으로 권한이 부여됩니다. 하지만 일부 구성에서는 더 광범위한 vTPM 액세스를 허용할 수 있습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. Google Cloud에서 표준 및 계획된 유지보수 기간 동안 고객님의 시스템을 선제적으로 업데이트할 예정입니다. 하지만 관리 권한(루트) 사용자로 vTPM 액세스를 제한할 수 있습니다. 이렇게 하면 보안 VM에 대한 위험을 줄일 수 있습니다.

해결되는 취약점은 무엇인가요?

취약점 CVE-2025-2884를 통해 vTPM 인터페이스 액세스 권한이 있는 로컬 공격자가 악성 명령어를 전송할 수 있습니다. 이러한 명령어는 범위 외(OOB) vTPM 메모리를 읽는 불일치를 악용합니다. 이 작업으로 인해 민감한 정보가 노출될 수 있습니다.

높음

CVE-2025-2884

GCP-2025-025

게시: 2025-년 5월 13일

설명

설명	심각도	참고
Intel은 CascadeLake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids, Emerald Rapids의 Intel 프로세서에 영향을 미치는 새로운 측면 채널 취약점에 대해 Google에 고지했습니다. Google에서는 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정사항을 적용했습니다. 현재까지 이에 대한 취약점 공격의 증거는 Google에서 발견되거나 보고되지 않았습니다. 어떻게 해야 하나요? 고객이 별도의 조치를 취하지 않아도 됩니다. 고객 보호를 위해 Google 서버 Fleet에 수정사항이 이미 적용되었습니다. 해결되는 취약점은 무엇인가요? CVE-2024-45332. 자세한 내용은 Intel 권고 INTEL-SA-01247을 참조하세요. 도움이 필요하세요? 궁금한 점이 있거나 지원이 필요한 경우 Cloud Customer Care에 문의하여 문제 번호 417536835를 말씀해 주시기 바랍니다.	높음	CVE-2024-45332

심각도

참고

Intel은 CascadeLake, Ice Lake XeonSP, Ice Lake XeonD, Sapphire Rapids, Emerald Rapids의 Intel 프로세서에 영향을 미치는 새로운 측면 채널 취약점에 대해 Google에 고지했습니다.

Google에서는 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정사항을 적용했습니다. 현재까지 이에 대한 취약점 공격의 증거는 Google에서 발견되거나 보고되지 않았습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. 고객 보호를 위해 Google 서버 Fleet에 수정사항이 이미 적용되었습니다.

해결되는 취약점은 무엇인가요?

CVE-2024-45332. 자세한 내용은 Intel 권고 INTEL-SA-01247을 참조하세요.

도움이 필요하세요?

궁금한 점이 있거나 지원이 필요한 경우 Cloud Customer Care에 문의하여 문제 번호 417536835를 말씀해 주시기 바랍니다.

높음

CVE-2024-45332

GCP-2025-024

게시: 2025년 5월 12일

업데이트: 2025년 5월 13일

설명

설명	심각도	참고
2025년 5월 13일 업데이트: 궁금한 점이 있거나 지원이 필요한 경우 Cloud Customer Care에 문의하여 문제 번호 417458390을 말씀해 주시기 바랍니다. Intel은 Intel Cascade Lake 프로세서 및 Intel Ice Lake 프로세서에 영향을 미치는 새로운 사전 예측 실행 취약점에 대해 Google에 고지했습니다. Google에서는 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정사항을 적용했습니다. 현재까지 이에 대한 취약점 공격의 증거는 Google에서 발견되거나 보고되지 않았습니다. 어떻게 해야 하나요? 고객이 별도의 조치를 취하지 않아도 됩니다. 완화 조치가 이미 Google 서버 Fleet에 적용되었습니다. 동일한 모드 간접 타겟 선택(ITS) 취약점을 완화하기 위해 인텔 OEM 및 기타 운영체제 파트너의 추가 완화 조치가 제공되는 대로 배포될 예정입니다. 운영체제 완화 조치가 적용된 후 장기간 실행되는 3세대 이상 VM을 사용하는 고객에게 의도치 않은 성능 저하가 발생할 수 있습니다. 해결되는 취약점은 무엇인가요? CVE-2024-28956. 자세한 내용은 Intel 보안 권고 INTEL-SA-01153을 참조하세요.	높음	CVE-2024-28956

심각도

참고

2025년 5월 13일 업데이트: 궁금한 점이 있거나 지원이 필요한 경우 Cloud Customer Care에 문의하여 문제 번호 417458390을 말씀해 주시기 바랍니다.

Intel은 Intel Cascade Lake 프로세서 및 Intel Ice Lake 프로세서에 영향을 미치는 새로운 사전 예측 실행 취약점에 대해 Google에 고지했습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. 완화 조치가 이미 Google 서버 Fleet에 적용되었습니다.

동일한 모드 간접 타겟 선택(ITS) 취약점을 완화하기 위해 인텔 OEM 및 기타 운영체제 파트너의 추가 완화 조치가 제공되는 대로 배포될 예정입니다.

운영체제 완화 조치가 적용된 후 장기간 실행되는 3세대 이상 VM을 사용하는 고객에게 의도치 않은 성능 저하가 발생할 수 있습니다.

해결되는 취약점은 무엇인가요?

CVE-2024-28956. 자세한 내용은 Intel 보안 권고 INTEL-SA-01153을 참조하세요.

높음

CVE-2024-28956

GCP-2024-040

게시: 2024년 7월 1일
업데이트: 2024년 8월 20일

설명 심각도 참고

업데이트: 2024년 8월 20일 심각 CVE-2024-6387

설명	심각도	참고
업데이트: 2024년 8월 20일	심각	CVE-2024-6387
2024년 8월 20일: TPU 패치 포함 Linux 배포판의 업데이트가 제공되면 적용합니다. Linux 배포판의 안내를 참조하세요. TPU를 사용하는 경우 다음 패치 버전 중 하나로 업데이트하세요. tpu-ubuntu2204-base v2-alpha-tpuv5 v2-alpha-tpuv5-lite OpenSSH에서 취약점(CVE-2024-6387)이 발견되었습니다. 이 취약점에 대한 익스플로잇이 성공하면 인증되지 않은 원격 공격자가 대상 머신에서 임의의 코드를 루트로 실행할 수 있습니다. glibc 기반 Linux 배포를 사용하고 OpenSSH가 노출된 모든 Compute Engine VM을 분석하여 취약한 버전을 확인하는 것이 좋습니다. 어떻게 해야 하나요? Linux 배포판의 업데이트가 제공되면 적용합니다. Linux 배포판의 안내를 참조하세요. Google의 Container-Optimized OS의 경우 다음 패치 버전 중 하나로 업데이트하세요. cos-113-18244-85-49 cos-109-17800-218-69 cos-105-17412-370-67 cos-101-17162-463-55 Google 관리형 서비스(예: GKE)를 통해 Container-Optimized OS를 사용하는 경우 패치 제공 여부는 해당 서비스의 보안 게시판을 참조하세요. 업데이트할 수 없는 경우 패치를 적용할 수 있을 때까지 OpenSSH를 사용 중지하는 것이 좋습니다. 기본 네트워크에는 공개 인터넷에서 SSH 액세스를 허용하기 위한 `default-allow-ssh` 방화벽 규칙이 자동 입력되어 있습니다. 이 액세스 권한을 삭제하려면 고객이 다음 단계를 따르면 됩니다. 원하는 경우 신뢰할 수 있는 네트워크에서 프로젝트의 GKE 노드 또는 다른 Compute Engine VM으로의 필요한 모든 SSH 액세스를 허용하는 규칙을 만듭니다. 다음 명령어를 사용하여 기본 방화벽 규칙을 사용 중지합니다. gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT 포트 22에서 TCP를 통해 SSH를 허용할 수 있는 다른 방화벽 규칙을 만든 경우 이를 사용 중지하거나 소스 IP를 신뢰할 수 있는 네트워크로 제한합니다. 더 이상 인터넷에서 VM에 SSH를 통해 연결할 수 없는지 확인합니다. 이 방화벽 구성은 취약점을 완화합니다. OpenSSH를 사용 설정 상태로 두어야 하는 경우 악용 사례의 경합 케이스 상태를 제거하는 구성 업데이트를 실행할 수도 있습니다. 이는 런타임 완화입니다. sshd 구성의 변경사항을 적용하기 위해 이 스크립트는 sshd 서비스를 다시 시작합니다. #!/bin/bash set -e SSHD_CONFIG_FILE=/etc/ssh/sshd_config # -c: count the matches # -q: don't print to console # -i: sshd_config keywords are case insensitive. if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE" echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE" else sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE" fi # Restart the sshd service to apply the new config. systemctl restart sshd SSH 서버와 관련된 비정상적인 네트워크 활동이 있는지 모니터링합니다.	심각	CVE-2024-6387

2024년 8월 20일: TPU 패치 포함 Linux 배포판의 업데이트가 제공되면 적용합니다. Linux 배포판의 안내를 참조하세요. TPU를 사용하는 경우 다음 패치 버전 중 하나로 업데이트하세요.

tpu-ubuntu2204-base
v2-alpha-tpuv5
v2-alpha-tpuv5-lite

OpenSSH에서 취약점(CVE-2024-6387)이 발견되었습니다. 이 취약점에 대한 익스플로잇이 성공하면 인증되지 않은 원격 공격자가 대상 머신에서 임의의 코드를 루트로 실행할 수 있습니다.

glibc 기반 Linux 배포를 사용하고 OpenSSH가 노출된 모든 Compute Engine VM을 분석하여 취약한 버전을 확인하는 것이 좋습니다.

어떻게 해야 하나요?

Linux 배포판의 업데이트가 제공되면 적용합니다. Linux 배포판의 안내를 참조하세요. Google의 Container-Optimized OS의 경우 다음 패치 버전 중 하나로 업데이트하세요.
- cos-113-18244-85-49
- cos-109-17800-218-69
- cos-105-17412-370-67
- cos-101-17162-463-55
Google 관리형 서비스(예: GKE)를 통해 Container-Optimized OS를 사용하는 경우 패치 제공 여부는 해당 서비스의 보안 게시판을 참조하세요.
업데이트할 수 없는 경우 패치를 적용할 수 있을 때까지 OpenSSH를 사용 중지하는 것이 좋습니다. 기본 네트워크에는 공개 인터넷에서 SSH 액세스를 허용하기 위한 default-allow-ssh 방화벽 규칙이 자동 입력되어 있습니다. 이 액세스 권한을 삭제하려면 고객이 다음 단계를 따르면 됩니다.
1. 원하는 경우 신뢰할 수 있는 네트워크에서 프로젝트의 GKE 노드 또는 다른 Compute Engine VM으로의 필요한 모든 SSH 액세스를 허용하는 규칙을 만듭니다.
2. 다음 명령어를 사용하여 기본 방화벽 규칙을 사용 중지합니다.
```
gcloud compute firewall-rules update default-allow-ssh --disabled --project=$PROJECT
      
```
포트 22에서 TCP를 통해 SSH를 허용할 수 있는 다른 방화벽 규칙을 만든 경우 이를 사용 중지하거나 소스 IP를 신뢰할 수 있는 네트워크로 제한합니다.

더 이상 인터넷에서 VM에 SSH를 통해 연결할 수 없는지 확인합니다. 이 방화벽 구성은 취약점을 완화합니다.

OpenSSH를 사용 설정 상태로 두어야 하는 경우 악용 사례의 경합 케이스 상태를 제거하는 구성 업데이트를 실행할 수도 있습니다. 이는 런타임 완화입니다. sshd 구성의 변경사항을 적용하기 위해 이 스크립트는 sshd 서비스를 다시 시작합니다.

#!/bin/bash
set -e

SSHD_CONFIG_FILE=/etc/ssh/sshd_config
# -c: count the matches
# -q: don't print to console
# -i: sshd_config keywords are case insensitive.
if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
    echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
    echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
else
    sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
    echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
fi
# Restart the sshd service to apply the new config.
systemctl restart sshd

SSH 서버와 관련된 비정상적인 네트워크 활동이 있는지 모니터링합니다.

심각

CVE-2024-6387

GCP-2024-021

게시됨: 2024년 4월 3일

설명	심각도	참고
Compute Engine은 liblzma 라이브러리에서 xz-utils 패키지의 5.6.0 및 5.6.1 버전에 영향을 주고 OpenSSH 유틸리티의 보안 침해로 이어질 수 있는 CVE-2024-3094의 영향을 받지 않습니다. 어떻게 해야 하나요? Compute Engine에서 지원하고 제공하는 공개 이미지는 이 CVE의 영향을 받지 않습니다. VM에 Compute Engine 공개 이미지를 사용하는 경우 아무 조치도 취하지 않아도 됩니다. 다음 운영체제와 같이 xz-utils 패키지의 버전 5.6.0 및 5.6.1을 사용하는 커스텀 이미지를 만든 경우 위험에 처할 수 있습니다. Fedora 41 및 Fedora Rawhide Debian testing/unstable openSUSE tumbleweed 이 위험을 완화하려면 이러한 운영체제 또는 영향을 받는 운영체제를 사용했을 수 있는 다른 운영체제를 사용하는 VM을 중지하세요. 다른 운영체제의 커스텀 이미지에서 빌드된 VM이 있는 경우 OS 공급업체에 문의하여 VM이 영향을 받는지 확인하세요. 해결되는 취약점은 무엇인가요? CVE-2024-3094	보통	CVE-2024-3094

설명

심각도

참고

Compute Engine은 liblzma 라이브러리에서 xz-utils 패키지의 5.6.0 및 5.6.1 버전에 영향을 주고 OpenSSH 유틸리티의 보안 침해로 이어질 수 있는 CVE-2024-3094의 영향을 받지 않습니다.

어떻게 해야 하나요?

Compute Engine에서 지원하고 제공하는 공개 이미지는 이 CVE의 영향을 받지 않습니다. VM에 Compute Engine 공개 이미지를 사용하는 경우 아무 조치도 취하지 않아도 됩니다.

다음 운영체제와 같이 xz-utils 패키지의 버전 5.6.0 및 5.6.1을 사용하는 커스텀 이미지를 만든 경우 위험에 처할 수 있습니다.

이 위험을 완화하려면 이러한 운영체제 또는 영향을 받는 운영체제를 사용했을 수 있는 다른 운영체제를 사용하는 VM을 중지하세요. 다른 운영체제의 커스텀 이미지에서 빌드된 VM이 있는 경우 OS 공급업체에 문의하여 VM이 영향을 받는지 확인하세요.

해결되는 취약점은 무엇인가요?

CVE-2024-3094

보통

CVE-2024-3094

GCP-2024-001

게시됨: 2024년 1월 9일

설명	심각도	참고
TianoCore EDK II UEFI 펌웨어에서 몇 가지 취약점이 발견되었습니다. 이 펌웨어는 Google Compute Engine VM에서 사용됩니다. 악용될 경우 취약점에서 보안 부트의 우회를 허용하여 보안 VM에서 사용되는 경우를 포함해 보안 부팅 프로세스에서 잘못된 측정을 제공할 수 있습니다. 어떻게 해야 하나요? 별도의 조치가 필요하지 않습니다. Google에서는 Compute Engine 전반에서 이 취약점에 패치를 적용했으며 모든 VM은 이 취약점으로부터 보호됩니다. 이 패치로 어떤 취약점이 해결되나요? 이 패치로 다음의 취약점이 완화되었습니다. CVE-2022-36763 CVE-2022-36764 CVE-2022-36765	보통	CVE-2022-36763 CVE-2022-36764 CVE-2022-36765

설명

심각도

참고

TianoCore EDK II UEFI 펌웨어에서 몇 가지 취약점이 발견되었습니다. 이 펌웨어는 Google Compute Engine VM에서 사용됩니다. 악용될 경우 취약점에서 보안 부트의 우회를 허용하여 보안 VM에서 사용되는 경우를 포함해 보안 부팅 프로세스에서 잘못된 측정을 제공할 수 있습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다. Google에서는 Compute Engine 전반에서 이 취약점에 패치를 적용했으며 모든 VM은 이 취약점으로부터 보호됩니다.

이 패치로 어떤 취약점이 해결되나요?

이 패치로 다음의 취약점이 완화되었습니다.

CVE-2022-36763
CVE-2022-36764
CVE-2022-36765

보통

GCP-2023-44

게시됨: 2023년 11월 15일

설명	심각도	참고
11월 14일 AMD에서 다양한 AMD 서버 CPU에 영향을 주는 여러 취약점이 공개되었습니다. 특히 이 취약점은 Zencore 2세대 'Rome', 3세대 'Milan', 4세대 'Genoa'를 활용하는 EPYC 서버 CPU에 영향을 미칩니다. Google에서는 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정사항을 적용했습니다. 현재까지 이에 대한 취약점 공격의 증거는 Google에서 발견되거나 보고되지 않았습니다. 어떻게 해야 하나요? 고객이 별도의 조치를 취하지 않아도 됩니다. Google Compute Engine을 포함한 Google Cloud용 Google 서버 Fleet에 수정사항이 이미 적용되었습니다. 이 패치로 어떤 취약점이 해결되나요? 이 패치로 다음의 취약점이 완화되었습니다. CVE-2022-23820 CVE-2021-46774 CVE-2023-20533 CVE-2023-20519 CVE-2023-20592 CVE-2023-20566 CVE-2023-20521 CVE-2021-46766 CVE-2022-23830 CVE-2023-20526 CVE-2021-26345 자세한 내용은 AMD 보안 권고 AMD-SN-3005: 'AMD INVD 안내 보안 알림'(CacheWarp로도 게시됨) 및 AMD-SN-3002: 'AMD 서버 취약점' - 2023년 11월'을 참조하세요.	보통	CVE-2022-23820 CVE-2021-46774 CVE-2023-20533 CVE-2023-20519 CVE-2023-20592 CVE-2023-20566 CVE-2022-23830 CVE-2023-20526 CVE-2021-26345

설명

심각도

참고

11월 14일 AMD에서 다양한 AMD 서버 CPU에 영향을 주는 여러 취약점이 공개되었습니다. 특히 이 취약점은 Zencore 2세대 'Rome', 3세대 'Milan', 4세대 'Genoa'를 활용하는 EPYC 서버 CPU에 영향을 미칩니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다.

Google Compute Engine을 포함한 Google Cloud용 Google 서버 Fleet에 수정사항이 이미 적용되었습니다.

이 패치로 어떤 취약점이 해결되나요?

이 패치로 다음의 취약점이 완화되었습니다.

CVE-2022-23820
CVE-2021-46774
CVE-2023-20533
CVE-2023-20519
CVE-2023-20592
CVE-2023-20566
CVE-2023-20521
CVE-2021-46766
CVE-2022-23830
CVE-2023-20526
CVE-2021-26345

자세한 내용은 AMD 보안 권고 AMD-SN-3005: 'AMD INVD 안내 보안 알림'(CacheWarp로도 게시됨) 및 AMD-SN-3002: 'AMD 서버 취약점' - 2023년 11월'을 참조하세요.

보통

GCP-2023-004

게시됨: 2023년 4월 26일

설명	심각도	참고
신뢰 플랫폼 모듈(TPM) 2.0에서 두 가지 취약점(CVE-2023-1017 및 CVE-2023-1018)이 발견되었습니다. 이 취약점으로 인해 정교한 공격자가 특정 Compute Engine VM에서 범위를 벗어난 2바이트의 읽기/쓰기를 익스플로잇할 수 있습니다. 어떻게 해야 하나요? 취약한 모든 VM에 패치가 자동으로 적용되었습니다. 고객이 별도의 조치를 취하지 않아도 됩니다. 이 패치로 어떤 취약점이 해결되나요? 이 패치로 다음의 취약점이 완화되었습니다. CVE-2023-1017 CVE-2023-2017을 사용하면 vTPM 파라미터 복호화 루틴에서 버퍼 오버런이 트리거될 수 있습니다. 취약한 VM에서 실행되는 로컬 공격자가 이를 사용하여 서비스 거부를 트리거하거나 vTPM 컨텍스트에서 임의 코드를 실행할 수 있습니다. CVE-2023-1018 CVE-2023-2018의 경우 vTPM 파라미터 복호화 루틴에 범위를 벗어난 읽기가 있었습니다. 취약한 VM에서 실행되는 로컬 공격자는 이를 사용하여 vTPM 컨텍스트에서 제한된 데이터를 간접적으로 유출할 수 있습니다.	보통	CVE-2023-1017 CVE-2023-1018

설명

심각도

참고

신뢰 플랫폼 모듈(TPM) 2.0에서 두 가지 취약점(CVE-2023-1017 및 CVE-2023-1018)이 발견되었습니다.

이 취약점으로 인해 정교한 공격자가 특정 Compute Engine VM에서 범위를 벗어난 2바이트의 읽기/쓰기를 익스플로잇할 수 있습니다.

어떻게 해야 하나요?

취약한 모든 VM에 패치가 자동으로 적용되었습니다. 고객이 별도의 조치를 취하지 않아도 됩니다.

이 패치로 어떤 취약점이 해결되나요?

이 패치로 다음의 취약점이 완화되었습니다.

CVE-2023-1017

CVE-2023-2017을 사용하면 vTPM 파라미터 복호화 루틴에서 버퍼 오버런이 트리거될 수 있습니다. 취약한 VM에서 실행되는 로컬 공격자가 이를 사용하여 서비스 거부를 트리거하거나 vTPM 컨텍스트에서 임의 코드를 실행할 수 있습니다.

CVE-2023-1018

CVE-2023-2018의 경우 vTPM 파라미터 복호화 루틴에 범위를 벗어난 읽기가 있었습니다. 취약한 VM에서 실행되는 로컬 공격자는 이를 사용하여 vTPM 컨텍스트에서 제한된 데이터를 간접적으로 유출할 수 있습니다.

보통

GCP-2021-026

게시됨: 2021년 12월 14일

설명	심각도	참고
Apache Log4j 유틸리티는 요청 로깅에 흔히 사용되는 구성요소입니다. 2021년 12월 9일, Apache Log4j 2.14.1 이하 버전을 실행하는 시스템의 보안을 침해하여 공격자가 임의 코드를 실행할 수 있는 취약점이 보고되었습니다. 2021년 12월 10일 NIST는 중요 CVE(Common Vulnerabilities and Exposure) 알림인 CVE-2021-44228을 게시했습니다. 구체적으로 살펴보자면 구성, 로그 메시지, 파라미터에 사용되는 JNDI(Java Naming Directory Interface) 기능이 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호되지 않습니다. 메시지 조회 대체를 사용 설정한 경우 로그 메시지 또는 로그 메시지 파라미터를 제어할 수 있는 공격자가 원격 서버에서 로드한 임의 코드를 실행할 수 있습니다. 어떻게 해야 하나요? M4CE v4.x: Migrate for Compute Engine(M4CE)팀에서 2021년 12월 13일에 새 버전을 제공했습니다. 프로젝트 관리자는 기존 배포를 인클라우드 M4CE 관리자 및 M4CE '온프레미스' 백엔드를 포함하는 새 버전으로 대체해야 합니다. 버전 4.11 배포 세부정보는 방법 가이드를 참조하세요. M2VMs v5.x: M2VMs v5.0 이상은 수정되었으며 조치가 필요하지 않습니다.	심각	CVE-2021-44228

설명

심각도

참고

Apache Log4j 유틸리티는 요청 로깅에 흔히 사용되는 구성요소입니다. 2021년 12월 9일, Apache Log4j 2.14.1 이하 버전을 실행하는 시스템의 보안을 침해하여 공격자가 임의 코드를 실행할 수 있는 취약점이 보고되었습니다.

2021년 12월 10일 NIST는 중요 CVE(Common Vulnerabilities and Exposure) 알림인 CVE-2021-44228을 게시했습니다. 구체적으로 살펴보자면 구성, 로그 메시지, 파라미터에 사용되는 JNDI(Java Naming Directory Interface) 기능이 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호되지 않습니다. 메시지 조회 대체를 사용 설정한 경우 로그 메시지 또는 로그 메시지 파라미터를 제어할 수 있는 공격자가 원격 서버에서 로드한 임의 코드를 실행할 수 있습니다.

어떻게 해야 하나요?

M4CE v4.x: Migrate for Compute Engine(M4CE)팀에서 2021년 12월 13일에 새 버전을 제공했습니다. 프로젝트 관리자는 기존 배포를 인클라우드 M4CE 관리자 및 M4CE '온프레미스' 백엔드를 포함하는 새 버전으로 대체해야 합니다. 버전 4.11 배포 세부정보는 방법 가이드를 참조하세요.
M2VMs v5.x: M2VMs v5.0 이상은 수정되었으며 조치가 필요하지 않습니다.

심각

CVE-2021-44228

GCP-2021-001

게시됨: 2021년 1월 28일

설명 심각도 참고

설명	심각도	참고
CVE-2021-3156의 설명대로 최근 Linux 유틸리티 `sudo`에서 취약점이 발견되었습니다. 이 취약점은 `sudo`가 설치된 시스템에서 권한 없는 로컬 셸 액세스 권한을 가진 공격자를 허용하여 공격자의 권한을 시스템의 루트로 에스컬레이션할 수 있습니다. Compute Engine에 미치는 영향 Compute Engine이 실행되는 기본 인프라는 이 취약점의 영향을 받지 않습니다. Linux를 실행하는 Compute Engine VM은 게스트 운영체제를 업데이트하는 것이 좋습니다. 예를 들어 Container-Optimized OS를 사용하는 경우 cos-85-13310-1209-7, cos-81-12871-1245-6, cos-dev-89-16091-0-0 또는 이후 이미지 중 하나로 업데이트하는 것이 좋습니다.	없음	CVE-2021-3156

CVE-2021-3156의 설명대로 최근 Linux 유틸리티 sudo에서 취약점이 발견되었습니다. 이 취약점은 sudo가 설치된 시스템에서 권한 없는 로컬 셸 액세스 권한을 가진 공격자를 허용하여 공격자의 권한을 시스템의 루트로 에스컬레이션할 수 있습니다.

Compute Engine에 미치는 영향

Compute Engine이 실행되는 기본 인프라는 이 취약점의 영향을 받지 않습니다. Linux를 실행하는 Compute Engine VM은 게스트 운영체제를 업데이트하는 것이 좋습니다. 예를 들어 Container-Optimized OS를 사용하는 경우 cos-85-13310-1209-7, cos-81-12871-1245-6, cos-dev-89-16091-0-0 또는 이후 이미지 중 하나로 업데이트하는 것이 좋습니다.

없음

CVE-2021-3156

발행 일자: 2020년 8월 27일

설명 심각도 참고

설명	심각도	참고
Eclypsium은 CVE-2020-10713을 공개했습니다. 취약점 초기 취약점 보고에 따라 GRUB2 코드에 추가 검토가 적용되었으며 Canonical에서 다음과 같은 추가 취약점을 발견했습니다. CVE-2020-14308 CVE-2020-14309 CVE-2020-14310 CVE-2020-14311 CVE-2020-15705 CVE-2020-15706 CVE-2020-15707 이러한 취약점(총칭하여 BootHole이라고 함)으로 인해 관리자 권한이 있는 공격자가 서명되지 않은 바이너리를 로드하여 보안 부팅 시행을 사용 중지할 수 있습니다. Compute Engine에 미치는 영향 Compute Engine을 실행하는 호스트 인프라는 알려진 공격으로부터 보호됩니다. 보안 부팅을 사용하는 Compute Engine 고객은 게스트 환경 내에서 악용될 가능성을 방지하기 위해 인스턴스의 게스트 운영체제를 업데이트하는 것이 좋습니다. 자세한 내용은 게스트 OS 공급업체에서 권장하는 완화 방법을 참조하세요. 패치가 적용된 이미지 및 공급업체 리소스 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 해당 정보로 연결되는 링크를 제공합니다. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다. 프로젝트 `centos-cloud`: CentOS 패치 정보 `centos-7-v20200811` `centos-8-v20200811` 프로젝트 `cos-cloud`: `cos-77-12371-1072-0` `cos-81-12871-1185-0` `cos-rc-85-13310-1028-0` `cos-dev-86-15103-0-0` 관리형 서비스(예: GKE)를 통해 COS를 사용하는 경우 해당 서비스의 안내에 따라 업데이트를 적용하세요. 프로젝트 `debian-cloud`: DSA-4753 `debian-10-buster-v20200805` 프로젝트 `coreos-cloud`: `coreos-alpha-2163-2-1-v20190617` `coreos-beta-2135-3-1-v20190617` `coreos-stable-2079-6-0-v20190617` 프로젝트 `rhel-cloud/rhel-sap-cloud:` Red Hat 취약점 대응 `rhel-7-v20200811` `rhel-7-4-sap-v20200811` `rhel-7-6-sap-v20200811` `rhel-7-7-sap-v20200811` `rhel-8-v20200811` 프로젝트 `suse-cloud/suse-sap-cloud:`: SUSE KB `sles-12-sp5-v20200813` `sles-15-sp2-v20200804` `sles-12-sp4-sap-v20200804` `sles-12-sp5-sap-v20200813` `sles-15-sap-v20200803` `sles-15-sp1-sap-v20200803` `Sles-15-sp2-sap-v20200804` 프로젝트 `ubuntu-os-cloud`: Ubuntu 위키 `ubuntu-1604-xenial-v20200729` `ubuntu-1804-bionic-v20200729` `ubuntu-2004-focal-v20200729`	높음	CVE-2020-10713 CVE-2020-14308 CVE-2020-14309 CVE-2020-14310 CVE-2020-14311 CVE-2020-15705 CVE-2020-15706 CVE-2020-15707

Eclypsium은 CVE-2020-10713을 공개했습니다.

취약점

초기 취약점 보고에 따라 GRUB2 코드에 추가 검토가 적용되었으며 Canonical에서 다음과 같은 추가 취약점을 발견했습니다.

이러한 취약점(총칭하여 BootHole이라고 함)으로 인해 관리자 권한이 있는 공격자가 서명되지 않은 바이너리를 로드하여 보안 부팅 시행을 사용 중지할 수 있습니다.

Compute Engine에 미치는 영향

Compute Engine을 실행하는 호스트 인프라는 알려진 공격으로부터 보호됩니다.

보안 부팅을 사용하는 Compute Engine 고객은 게스트 환경 내에서 악용될 가능성을 방지하기 위해 인스턴스의 게스트 운영체제를 업데이트하는 것이 좋습니다. 자세한 내용은 게스트 OS 공급업체에서 권장하는 완화 방법을 참조하세요.

패치가 적용된 이미지 및 공급업체 리소스

각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 해당 정보로 연결되는 링크를 제공합니다. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다.

프로젝트 centos-cloud: CentOS 패치 정보
- centos-7-v20200811
- centos-8-v20200811
프로젝트 cos-cloud:
- cos-77-12371-1072-0
- cos-81-12871-1185-0
- cos-rc-85-13310-1028-0
- cos-dev-86-15103-0-0
관리형 서비스(예: GKE)를 통해 COS를 사용하는 경우 해당 서비스의 안내에 따라 업데이트를 적용하세요.
프로젝트 debian-cloud: DSA-4753
- debian-10-buster-v20200805
프로젝트 coreos-cloud:
- coreos-alpha-2163-2-1-v20190617
- coreos-beta-2135-3-1-v20190617
- coreos-stable-2079-6-0-v20190617
프로젝트 rhel-cloud/rhel-sap-cloud: Red Hat 취약점 대응
- rhel-7-v20200811
- rhel-7-4-sap-v20200811
- rhel-7-6-sap-v20200811
- rhel-7-7-sap-v20200811
- rhel-8-v20200811
프로젝트 suse-cloud/suse-sap-cloud:: SUSE KB
- sles-12-sp5-v20200813
- sles-15-sp2-v20200804
- sles-12-sp4-sap-v20200804
- sles-12-sp5-sap-v20200813
- sles-15-sap-v20200803
- sles-15-sp1-sap-v20200803
- Sles-15-sp2-sap-v20200804
프로젝트 ubuntu-os-cloud: Ubuntu 위키
- ubuntu-1604-xenial-v20200729
- ubuntu-1804-bionic-v20200729
- ubuntu-2004-focal-v20200729

높음

발행 일자: 2020년 6월 19일

설명 심각도 참고

설명	심각도	참고
OS 로그인이 사용 설정된 VM은 권한 에스컬레이션 취약점에 취약할 수 있습니다. 이러한 취약성으로 인해 OS 로그인 권한이 부여된 사용자(관리자 액세스 권한은 부여되지 않음)는 VM의 루트 액세스로 에스컬레이션할 수 있습니다. 취약점 지나치게 허용적인 기본 그룹 멤버십으로 인해 발생하는 다음 세 가지 취약점이 Compute Engine 이미지에서 식별되었습니다. CVE-2020-8903: `adm` 사용자를 사용하여 DHCP XID를 활용하여 관리자 권한을 획득할 수 있습니다. CVE-2020-8907: `docker` 사용자를 사용하여 관리자 권한을 얻기 위해 호스트 OS 파일 시스템을 마운트하고 수정할 수 있습니다. CVE-2020-8933: `lxd` 사용자를 사용하여 호스트 OS 파일 시스템을 연결하고 관리자 권한을 획득할 수 있습니다. 패치가 적용된 이미지 및 수정사항 `v20200506` 이후에 생성된 모든 Compute Engine 공개 이미지에는 패치가 적용됩니다. 이미지의 최신 버전으로 업데이트하지 않고 이 문제를 해결해야 하는 경우 `/etc/security/group.conf` 파일을 수정하고 기본 OS 로그인 항목에서 `adm`, `lxd`, `docker` 사용자를 삭제하면 됩니다.	높음	CVE-2020-8903 CVE-2020-8907 CVE-2020-8933

OS 로그인이 사용 설정된 VM은 권한 에스컬레이션 취약점에 취약할 수 있습니다. 이러한 취약성으로 인해 OS 로그인 권한이 부여된 사용자(관리자 액세스 권한은 부여되지 않음)는 VM의 루트 액세스로 에스컬레이션할 수 있습니다.

취약점

지나치게 허용적인 기본 그룹 멤버십으로 인해 발생하는 다음 세 가지 취약점이 Compute Engine 이미지에서 식별되었습니다.

CVE-2020-8903: adm 사용자를 사용하여 DHCP XID를 활용하여 관리자 권한을 획득할 수 있습니다.
CVE-2020-8907: docker 사용자를 사용하여 관리자 권한을 얻기 위해 호스트 OS 파일 시스템을 마운트하고 수정할 수 있습니다.
CVE-2020-8933: lxd 사용자를 사용하여 호스트 OS 파일 시스템을 연결하고 관리자 권한을 획득할 수 있습니다.

패치가 적용된 이미지 및 수정사항

v20200506 이후에 생성된 모든 Compute Engine 공개 이미지에는 패치가 적용됩니다.

이미지의 최신 버전으로 업데이트하지 않고 이 문제를 해결해야 하는 경우 /etc/security/group.conf 파일을 수정하고 기본 OS 로그인 항목에서 adm, lxd, docker 사용자를 삭제하면 됩니다.

높음

발행 일자: 2020년 1월 21일

설명 심각도 참고

설명	심각도	참고
Microsoft에서 다음 취약점을 공개했습니다. CVE-2020-0601— 이 취약점은 Windows Crypto API 스푸핑 취약점이라고도 하며, 악성 실행 파일을 신뢰할 수 있는 파일인 것처럼 보이게 하거나 공격자가 중간에 데이터를 가로채는 공격을 수행하고 사용자 연결의 기밀 정보를 영향을 받는 소프트웨어에 복호화하는 데 악용될 수 있습니다. Compute Engine에 미치는 영향 Compute Engine이 실행되는 기본 인프라는 이 취약점의 영향을 받지 않습니다. Compute Engine 가상 머신에서 Windows Server를 실행하는 경우가 아니면 추가 조치는 필요하지 않습니다. Windows Server를 실행하는 Compute Engine VM을 사용하는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있어야 합니다. 패치가 적용된 이미지 및 공급업체 리소스 공개 Windows 이미지의 이전 버전에는 다음 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다. 프로젝트 `windows-cloud` 및 `windows-sql-cloud` v20200114부터 시작하는 모든 Windows Server 및 SQL Server 공개 이미지	보통	CVE-2020-0601

Microsoft에서 다음 취약점을 공개했습니다.

CVE-2020-0601— 이 취약점은 Windows Crypto API 스푸핑 취약점이라고도 하며, 악성 실행 파일을 신뢰할 수 있는 파일인 것처럼 보이게 하거나 공격자가 중간에 데이터를 가로채는 공격을 수행하고 사용자 연결의 기밀 정보를 영향을 받는 소프트웨어에 복호화하는 데 악용될 수 있습니다.

Compute Engine에 미치는 영향

Compute Engine이 실행되는 기본 인프라는 이 취약점의 영향을 받지 않습니다. Compute Engine 가상 머신에서 Windows Server를 실행하는 경우가 아니면 추가 조치는 필요하지 않습니다. Windows Server를 실행하는 Compute Engine VM을 사용하는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있어야 합니다.

패치가 적용된 이미지 및 공급업체 리소스

공개 Windows 이미지의 이전 버전에는 다음 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다.

프로젝트 windows-cloud 및 windows-sql-cloud
- v20200114부터 시작하는 모든 Windows Server 및 SQL Server 공개 이미지

보통

CVE-2020-0601

발행 일자: 2019년 11월 12일

설명	심각도	참고
Intel은 다음과 같은 CVE를 공개했습니다. CVE-2019-11135: 이 CVE는 TAA(TSX Async Abort)로도 알려져 있습니다. TAA는 마이크로아키텍처 데이터 샘플링(MDS)에서 악용한 것과 동일한 마이크로아키텍처 데이터 구조로 데이터를 무단 반출할 수 있는 또 다른 경로를 제공합니다. CVE-2018-12207: 이 CVE는 '페이지 크기 변경 시 머신 확인 오류'로도 알려져 있습니다. 이 서비스 거부(DoS) 취약점은 가상 머신 호스트에 영향을 미치며, 악성 게스트가 보호되지 않는 호스트를 비정상 종료할 수 있다는 문제를 안고 있습니다. Compute Engine에 미치는 영향 CVE-2019-11135 Compute Engine을 실행하는 호스트 인프라는 고객의 워크로드를 격리합니다. N2, C2 또는 M2 VM 내에서 신뢰할 수 없는 코드를 실행하는 경우가 아니라면 추가 조치는 필요하지 않습니다. Compute Engine 가상 머신 내 자체 멀티 테넌트 서비스에서 신뢰할 수 없는 코드를 실행하는 N2, C2 또는 M2 고객은 최신 보안 완화 조치가 적용되도록 VM을 중지했다가 시작해야 합니다. 중지/시작 없이 재부팅하는 것만으로는 충분하지 않습니다. 이 안내에서는 MDS 취약점을 다루는 이전에 출시된 업데이트를 이미 적용했다고 가정합니다. 그렇지 않은 경우 안내에 따라 적절한 업데이트를 적용하세요. N1 머신 유형을 실행하는 고객의 경우 이 취약점은 이전에 공개된 MDS 취약점 외에 새로운 노출을 나타내지 않으므로 별도의 조치를 취하지 않아도 됩니다. CVE-2018-12207 Compute Engine을 실행하는 호스트 인프라는 이 취약점으로부터 보호됩니다. 추가 조치는 필요하지 않습니다.	보통	CVE-2019-11135 CVE-2018-12207

설명

심각도

참고

Intel은 다음과 같은 CVE를 공개했습니다.

CVE-2019-11135: 이 CVE는 TAA(TSX Async Abort)로도 알려져 있습니다. TAA는 마이크로아키텍처 데이터 샘플링(MDS)에서 악용한 것과 동일한 마이크로아키텍처 데이터 구조로 데이터를 무단 반출할 수 있는 또 다른 경로를 제공합니다.
CVE-2018-12207: 이 CVE는 '페이지 크기 변경 시 머신 확인 오류'로도 알려져 있습니다. 이 서비스 거부(DoS) 취약점은 가상 머신 호스트에 영향을 미치며, 악성 게스트가 보호되지 않는 호스트를 비정상 종료할 수 있다는 문제를 안고 있습니다.

Compute Engine에 미치는 영향

CVE-2019-11135

Compute Engine을 실행하는 호스트 인프라는 고객의 워크로드를 격리합니다. N2, C2 또는 M2 VM 내에서 신뢰할 수 없는 코드를 실행하는 경우가 아니라면 추가 조치는 필요하지 않습니다.

Compute Engine 가상 머신 내 자체 멀티 테넌트 서비스에서 신뢰할 수 없는 코드를 실행하는 N2, C2 또는 M2 고객은 최신 보안 완화 조치가 적용되도록 VM을 중지했다가 시작해야 합니다. 중지/시작 없이 재부팅하는 것만으로는 충분하지 않습니다. 이 안내에서는 MDS 취약점을 다루는 이전에 출시된 업데이트를 이미 적용했다고 가정합니다. 그렇지 않은 경우 안내에 따라 적절한 업데이트를 적용하세요.

N1 머신 유형을 실행하는 고객의 경우 이 취약점은 이전에 공개된 MDS 취약점 외에 새로운 노출을 나타내지 않으므로 별도의 조치를 취하지 않아도 됩니다.

CVE-2018-12207

Compute Engine을 실행하는 호스트 인프라는 이 취약점으로부터 보호됩니다. 추가 조치는 필요하지 않습니다.

보통

발행 일자: 2019년 6월 18일

최종 업데이트: 2019년 6월 25일 T 6:30(PST)

설명 심각도 참고

설명	심각도	참고
Netflix는 최근 Linux 커널의 TCP 취약점 3가지를 공개했습니다. CVE-2019-11477 CVE-2019-11478 CVE-2019-11479 이러한 CVE를 통칭하여 NFLX-2019-001이라고 합니다. Compute Engine에 미치는 영향 Compute Engine을 호스팅하는 인프라는 이 취약점으로부터 보호됩니다. 패치가 적용되지 않은 Linux 운영체제를 실행하는 Compute Engine VM에서 신뢰할 수 없는 네트워크 트래픽을 전송/수신하는 경우 이 DoS 공격에 취약합니다. 운영체제의 패치가 제공되는 즉시 VM 인스턴스를 업데이트하는 것이 좋습니다. TCP 연결을 닫는 부하 분산기에 이 취약점을 해결하는 패치를 적용했습니다. 이 부하 분산기를 통해서만 신뢰할 수 없는 트래픽을 수신하는 Compute Engine 인스턴스는 취약하지 않습니다. 이러한 분산기에는 HTTP 부하 분산기, SSL 프록시 부하 분산기, TCP 프록시 부하 분산기가 있습니다. 네트워크 부하 분산기 및 내부 부하 분산기는 TCP 연결을 닫지 않습니다. 이 부하 분산기를 통해 신뢰할 수 없는 트래픽을 수신하는 Compute Engine 인스턴스는 패치가 적용되지 않은 경우 취약합니다. 패치가 적용된 이미지 및 공급업체 리소스 각 CVE 상태를 포함한 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 해당 패치 정보로 연결되는 링크를 제공합니다. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다. 프로젝트 `debian-cloud`: `debian-9-stretch-v20190618` 프로젝트 `centos-cloud`: `centos-6-v20190619` `centos-7-v20190619` 프로젝트 `cos-cloud`: `cos-dev-77-12293-0-0` `cos-beta-76-12239-21-0` `cos-stable-75-12105-77-0` `cos-73-11647-217-0` `cos-69-10895-277-0` 프로젝트 `coreos-cloud`: `coreos-alpha-2163-2-1-v20190617` `coreos-beta-2135-3-1-v20190617` `coreos-stable-2079-6-0-v20190617` 프로젝트 `rhel-cloud`: `rhel-6-v20190618` `rhel-7-v20190618` `rhel-8-v20190618` 프로젝트 `rhel-sap-cloud`: `rhel-7-4-sap-v20190618` `rhel-7-6-sap-v20190618` 프로젝트 `suse-cloud`: `sles-12-sp4-v20190617` `sles-15-v20190617` 프로젝트 `suse-sap-cloud`: `sles-12-sp1-sap-v20190617` `sles-12-sp2-sap-v20190617` `sles-12-sp3-sap-v20190617` `sles-12-sp4-sap-v20190617` `sles-15-sap-v20190617` 프로젝트 `ubuntu-cloud`: `ubuntu-1604-xenial-v20190617` `ubuntu-1804-bionic-v20190617` `ubuntu-1810-cosmic-v20190618` `ubuntu-1904-disco-v20190619` `ubuntu-minimal-1604-xenial-v20190618` `ubuntu-minimal-1804-bionic-v20190617` `ubuntu-minimal-1810-cosmic-v20190618` `ubuntu-minimal-1904-disco-v20190618`	보통	CVE-2019-11477 CVE-2019-11478 CVE-2019-11479

Netflix는 최근 Linux 커널의 TCP 취약점 3가지를 공개했습니다.

이러한 CVE를 통칭하여 NFLX-2019-001이라고 합니다.

Compute Engine에 미치는 영향

Compute Engine을 호스팅하는 인프라는 이 취약점으로부터 보호됩니다.

패치가 적용되지 않은 Linux 운영체제를 실행하는 Compute Engine VM에서 신뢰할 수 없는 네트워크 트래픽을 전송/수신하는 경우 이 DoS 공격에 취약합니다. 운영체제의 패치가 제공되는 즉시 VM 인스턴스를 업데이트하는 것이 좋습니다.

TCP 연결을 닫는 부하 분산기에 이 취약점을 해결하는 패치를 적용했습니다. 이 부하 분산기를 통해서만 신뢰할 수 없는 트래픽을 수신하는 Compute Engine 인스턴스는 취약하지 않습니다. 이러한 분산기에는 HTTP 부하 분산기, SSL 프록시 부하 분산기, TCP 프록시 부하 분산기가 있습니다.

네트워크 부하 분산기 및 내부 부하 분산기는 TCP 연결을 닫지 않습니다. 이 부하 분산기를 통해 신뢰할 수 없는 트래픽을 수신하는 Compute Engine 인스턴스는 패치가 적용되지 않은 경우 취약합니다.

패치가 적용된 이미지 및 공급업체 리소스

각 CVE 상태를 포함한 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 해당 패치 정보로 연결되는 링크를 제공합니다. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다.

프로젝트 debian-cloud:
- debian-9-stretch-v20190618
프로젝트 centos-cloud:
- centos-6-v20190619
- centos-7-v20190619
프로젝트 cos-cloud:
- cos-dev-77-12293-0-0
- cos-beta-76-12239-21-0
- cos-stable-75-12105-77-0
- cos-73-11647-217-0
- cos-69-10895-277-0
프로젝트 coreos-cloud:
- coreos-alpha-2163-2-1-v20190617
- coreos-beta-2135-3-1-v20190617
- coreos-stable-2079-6-0-v20190617
프로젝트 rhel-cloud:
- rhel-6-v20190618
- rhel-7-v20190618
- rhel-8-v20190618
프로젝트 rhel-sap-cloud:
- rhel-7-4-sap-v20190618
- rhel-7-6-sap-v20190618
프로젝트 suse-cloud:
- sles-12-sp4-v20190617
- sles-15-v20190617
프로젝트 suse-sap-cloud:
- sles-12-sp1-sap-v20190617
- sles-12-sp2-sap-v20190617
- sles-12-sp3-sap-v20190617
- sles-12-sp4-sap-v20190617
- sles-15-sap-v20190617
프로젝트 ubuntu-cloud:
- ubuntu-1604-xenial-v20190617
- ubuntu-1804-bionic-v20190617
- ubuntu-1810-cosmic-v20190618
- ubuntu-1904-disco-v20190619
- ubuntu-minimal-1604-xenial-v20190618
- ubuntu-minimal-1804-bionic-v20190617
- ubuntu-minimal-1810-cosmic-v20190618
- ubuntu-minimal-1904-disco-v20190618

보통

발행 일자: 2019년 5월 14일

최종 업데이트: 2019년 5월 20일 T 17:00(PST)

설명 심각도 참고

설명	심각도	참고
Intel은 다음과 같은 CVE를 공개했습니다. CVE-2018-12126 CVE-2018-12127 CVE-2018-12130 CVE-2019-11091 이러한 CVE를 통칭하여 마이크로아키텍처 데이터 샘플링(MDS)이라고 합니다. 잠재적으로 데이터가 마이크로아키텍처 상태에서 예측 실행의 상호작용을 통해 이러한 취약점에 노출될 수 있습니다. Compute Engine에 미치는 영향 Compute Engine을 실행하는 호스트 인프라는 고객의 워크로드를 서로 격리합니다. VM에서 신뢰할 수 없는 코드를 실행하는 경우가 아니면 추가 조치는 필요하지 않습니다. Compute Engine 가상 머신 내 자체 다중 테넌트 서비스에서 신뢰할 수 없는 코드를 실행하는 고객의 경우 게스트 OS 공급업체에서 권장하는 완화 조치를 참조하세요. 여기에는 Intel의 마이크로코드 완화 기능을 사용하는 것이 포함될 수 있습니다. Google은 게스트 통과 액세스 권한을 새로운 삭제 기능에 배포했습니다. 다음은 일반적인 게스트 이미지에 사용할 수 있는 완화 단계를 요약한 것입니다. 패치가 적용된 이미지 및 공급업체 리소스 각 CVE 상태를 포함한 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 패치 정보로 연결되는 링크를 제공합니다. 이 이미지를 사용해 VM 인스턴스를 다시 만드세요. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다. 프로젝트 `centos-cloud`: CESA-2019:1169, CESA-2019:1168 `centos-6-v20190515` `centos-7-v20190515` 프로젝트 `coreos-cloud`: CoreOS Container Linux의 MDS 완화 `coreos-stable-2079-4-0-v20190515` `coreos-beta-2107-3-0-v20190515` `coreos-alpha-2135-1-0-v20190515` 프로젝트 `cos-cloud` `cos-69-10895-242-0` `cos-73-11647-182-0` 프로젝트 `debian-cloud`: DSA-4444 `debian-9-stretch-v20190514` 프로젝트 `rhel-cloud`: Red Hat MDS 기술 자료 `rhel-6-v20190515` `rhel-7-v20190517` `rhel-8-v20190515` 프로젝트 `rhel-sap-cloud`: Red Hat MDS 기술 자료 `rhel-7-4-sap-v20190515` `rhel-7-6-sap-v20190517` 프로젝트 `suse-cloud`: SUSE MDS KB `sles-12-sp4-v20190520` `sles-15-v20190520` 프로젝트 `suse-sap-cloud` `sles-12-sp4-sap-v20190520` `sles-15-sap-v20190520` 프로젝트 `ubuntu-os-cloud`: Ubuntu MDS 위키 `ubuntu-1404-trusty-v20190514` `ubuntu-1604-xenial-v20190514` `ubuntu-1804-bionic-v20190514` `ubuntu-1810-cosmic-v20190514` `ubuntu-1904-disco-v20190514` `ubuntu-minimal-1604-xenial-v20190514` `ubuntu-minimal-1804-bionic-v20190514` `ubuntu-minimal-1810-cosmic-v20190514` `ubuntu-minimal-1904-disco-v20190514` 프로젝트 `windows-cloud` 및 `windows-sql-cloud`: Microsoft ADV190013 버전 번호가 `v20190514`인 모든 Windows Server 및 SQL Server 공개 이미지 프로젝트 `gce-uefi-images` `centos-7-v20190515` `cos-69-10895-242-0` `cos-73-11647-182-0` `rhel-7-v20190517` `ubuntu-1804-bionic-v20190514` 버전 번호가 `v20190514`인 모든 Windows Server 공개 이미지 Container-Optimized OS 컨테이너 최적화 OS(COS)를 게스트 OS로 사용하고 가상 머신에서 신뢰할 수 없는 다중 테넌트 작업 부하를 실행 중인 경우 다음 안내를 따르는 것이 좋습니다. 커널 명령줄에 `nosmt`를 설정하여 하이퍼 스레딩을 사용 중지합니다. 기존 COS VM에서 다음과 같이 `grub.cfg`를 수정하여 `nosmt` 옵션을 설정한 다음 시스템을 재부팅할 수 있습니다. # Run as root: dir="$(mktemp -d)" mount /dev/sda12 "${dir}" sed -i -e "s\|cros_efi\|cros_efi nosmt\|g" "${dir}/efi/boot/grub.cfg" umount "${dir}" rmdir "${dir}" reboot 편의상 아래의 스크립트를 실행하면 이전 명령어를 실행할 때와 동일한 결과를 얻을 수 있습니다. 새 VM에서 이 새로운 파라미터를 사용할 수 있도록 이 스크립트를 cloud-config, 시작 스크립트 또는 인스턴스 템플릿에 포함하는 것이 좋습니다. 이 스크립트를 실행하는 cloud-config 예시는 아래에 나와 있습니다. 경고: 이 명령어를 처음 실행하면 인스턴스가 즉시 재부팅됩니다. 이후에 하이퍼 스레딩이 이미 사용 중지된 인스턴스에서 명령어를 실행하는 것은 아무런 영향을 미치지 않습니다. # Run as root /bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh) 이 스크립트를 cloud-config에 포함하려면 다음 명령어를 실행하세요. #cloud-config bootcmd: - /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)" 인스턴스에 하이퍼 스레딩이 사용 중지되었는지 확인하려면 `/sys/devices/system/cpu/smt/active` 및 `/sys/devices/system/cpu/smt/control` 파일의 출력을 확인합니다. `active`에 `0`을, `control`에 `off`를 반환하면 하이퍼 스레딩이 사용 중지된 것입니다. cat /sys/devices/system/cpu/smt/active cat /sys/devices/system/cpu/smt/control 참고: 인스턴스에 UEFI 보안 부팅을 사용 설정한 경우 UEFI 보안 부팅이 사용 중지된 상태에서 인스턴스를 다시 만들고, UEFI 보안 부팅이 사용 중지된 상태에서 위의 명령어를 실행한 다음 새 인스턴스에 UEFI 보안 부팅을 사용 설정해야 합니다. 새 버전의 COS 이미지를 사용합니다. 위의 설명대로 하이퍼 스레딩을 사용 중지하는 것 외에 위에 나열된 업데이트 이미지 또는 새 버전의 Container-Optimized OS 이미지(사용 가능한 경우)를 사용해 인스턴스를 다시 만들어 취약점으로부터 완벽하게 보호해야 합니다.	보통	CVE-2018-12126 CVE-2018-12127 CVE-2018-12130 CVE-2019-11091

Intel은 다음과 같은 CVE를 공개했습니다.

이러한 CVE를 통칭하여 마이크로아키텍처 데이터 샘플링(MDS)이라고 합니다. 잠재적으로 데이터가 마이크로아키텍처 상태에서 예측 실행의 상호작용을 통해 이러한 취약점에 노출될 수 있습니다.

Compute Engine에 미치는 영향

Compute Engine을 실행하는 호스트 인프라는 고객의 워크로드를 서로 격리합니다. VM에서 신뢰할 수 없는 코드를 실행하는 경우가 아니면 추가 조치는 필요하지 않습니다.

Compute Engine 가상 머신 내 자체 다중 테넌트 서비스에서 신뢰할 수 없는 코드를 실행하는 고객의 경우 게스트 OS 공급업체에서 권장하는 완화 조치를 참조하세요. 여기에는 Intel의 마이크로코드 완화 기능을 사용하는 것이 포함될 수 있습니다. Google은 게스트 통과 액세스 권한을 새로운 삭제 기능에 배포했습니다. 다음은 일반적인 게스트 이미지에 사용할 수 있는 완화 단계를 요약한 것입니다.

패치가 적용된 이미지 및 공급업체 리소스

각 CVE 상태를 포함한 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 패치 정보로 연결되는 링크를 제공합니다. 이 이미지를 사용해 VM 인스턴스를 다시 만드세요. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다.

프로젝트 centos-cloud: CESA-2019:1169, CESA-2019:1168

centos-6-v20190515
centos-7-v20190515

프로젝트 coreos-cloud: CoreOS Container Linux의 MDS 완화

coreos-stable-2079-4-0-v20190515
coreos-beta-2107-3-0-v20190515
coreos-alpha-2135-1-0-v20190515

프로젝트 cos-cloud

cos-69-10895-242-0
cos-73-11647-182-0

프로젝트 debian-cloud: DSA-4444

debian-9-stretch-v20190514

프로젝트 rhel-cloud: Red Hat MDS 기술 자료

rhel-6-v20190515
rhel-7-v20190517
rhel-8-v20190515

프로젝트 rhel-sap-cloud: Red Hat MDS 기술 자료

rhel-7-4-sap-v20190515
rhel-7-6-sap-v20190517

프로젝트 suse-cloud: SUSE MDS KB

sles-12-sp4-v20190520
sles-15-v20190520

프로젝트 suse-sap-cloud

sles-12-sp4-sap-v20190520
sles-15-sap-v20190520

프로젝트 ubuntu-os-cloud: Ubuntu MDS 위키

ubuntu-1404-trusty-v20190514
ubuntu-1604-xenial-v20190514
ubuntu-1804-bionic-v20190514
ubuntu-1810-cosmic-v20190514
ubuntu-1904-disco-v20190514
ubuntu-minimal-1604-xenial-v20190514
ubuntu-minimal-1804-bionic-v20190514
ubuntu-minimal-1810-cosmic-v20190514
ubuntu-minimal-1904-disco-v20190514

프로젝트 windows-cloud 및 windows-sql-cloud: Microsoft ADV190013

버전 번호가 v20190514인 모든 Windows Server 및 SQL Server 공개 이미지

프로젝트 gce-uefi-images

centos-7-v20190515
cos-69-10895-242-0
cos-73-11647-182-0
rhel-7-v20190517
ubuntu-1804-bionic-v20190514
버전 번호가 v20190514인 모든 Windows Server 공개 이미지

Container-Optimized OS

컨테이너 최적화 OS(COS)를 게스트 OS로 사용하고 가상 머신에서 신뢰할 수 없는 다중 테넌트 작업 부하를 실행 중인 경우 다음 안내를 따르는 것이 좋습니다.

커널 명령줄에 nosmt를 설정하여 하이퍼 스레딩을 사용 중지합니다.

기존 COS VM에서 다음과 같이 grub.cfg를 수정하여 nosmt 옵션을 설정한 다음 시스템을 재부팅할 수 있습니다.
```
# Run as root:
dir="$(mktemp -d)"
mount /dev/sda12 "${dir}"
sed -i -e "s|cros_efi|cros_efi nosmt|g" "${dir}/efi/boot/grub.cfg"
umount "${dir}"
rmdir "${dir}"

reboot
```
편의상 아래의 스크립트를 실행하면 이전 명령어를 실행할 때와 동일한 결과를 얻을 수 있습니다. 새 VM에서 이 새로운 파라미터를 사용할 수 있도록 이 스크립트를 cloud-config, 시작 스크립트 또는 인스턴스 템플릿에 포함하는 것이 좋습니다. 이 스크립트를 실행하는 cloud-config 예시는 아래에 나와 있습니다.

경고: 이 명령어를 처음 실행하면 인스턴스가 즉시 재부팅됩니다. 이후에 하이퍼 스레딩이 이미 사용 중지된 인스턴스에서 명령어를 실행하는 것은 아무런 영향을 미치지 않습니다.
```
# Run as root
/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)
```
이 스크립트를 cloud-config에 포함하려면 다음 명령어를 실행하세요.
```
#cloud-config

bootcmd:
- /bin/bash -c "/bin/bash <(curl -s https://storage.googleapis.com/cos-tools/scripts/disable_smt.sh)"
```
인스턴스에 하이퍼 스레딩이 사용 중지되었는지 확인하려면 /sys/devices/system/cpu/smt/active 및 /sys/devices/system/cpu/smt/control 파일의 출력을 확인합니다. active에 0을, control에 off를 반환하면 하이퍼 스레딩이 사용 중지된 것입니다.
```
cat /sys/devices/system/cpu/smt/active
cat /sys/devices/system/cpu/smt/control
```
참고: 인스턴스에 UEFI 보안 부팅을 사용 설정한 경우 UEFI 보안 부팅이 사용 중지된 상태에서 인스턴스를 다시 만들고, UEFI 보안 부팅이 사용 중지된 상태에서 위의 명령어를 실행한 다음 새 인스턴스에 UEFI 보안 부팅을 사용 설정해야 합니다.
새 버전의 COS 이미지를 사용합니다.
위의 설명대로 하이퍼 스레딩을 사용 중지하는 것 외에 위에 나열된 업데이트 이미지 또는 새 버전의 Container-Optimized OS 이미지(사용 가능한 경우)를 사용해 인스턴스를 다시 만들어 취약점으로부터 완벽하게 보호해야 합니다.

보통

발행 일자: 2018년 8월 14일

최종 업데이트: 2018년 8월 20일 T 17:00(PST)

설명 심각도 참고

설명	심각도	참고
설명 Intel은 다음과 같은 CVE를 공개했습니다. CVE-2018-3615(SGX용) CVE-2018-3620(운영체제 및 SMT용) CVE-2018-3646(가상화용) 이러한 CVE를 통칭하여 'L1 터미널 오류(L1TF)'라고 합니다. 이러한 L1TF 취약점은 프로세서 수준 데이터 구조의 구성을 공격하는 식의 예측 실행 악용 문제를 안고 있습니다. 'L1'은 레벨 1 데이터 캐시(L1D), 즉 메모리 액세스 가속화에 사용되는 소형 온코어(on-core) 리소스를 의미합니다. 이러한 취약점과 Compute Engine의 완화 조치에 대한 자세한 내용은 Google Cloud 블로그 게시물을 참조하세요. Compute Engine에 미치는 영향 Compute Engine을 실행하고 고객 워크로드를 서로 격리하는 호스트 인프라는 알려진 공격으로부터 안전합니다. Compute Engine 고객은 이미지를 업데이트하여 게스트 환경의 간접적 악용 가능성을 막는 것이 좋습니다. 이는 Compute Engine 가상 머신에서 자체 다중 테넌트 서비스를 실행 중인 고객에게 특히 중요한 권장사항입니다. Compute Engine 고객은 다음 옵션 중 하나를 사용하여 인스턴스에서 게스트 운영체제를 업데이트할 수 있습니다. 패치가 적용된 공개 이미지를 사용해 기존 VM 인스턴스를 다시 만듭니다. 운영체제 공급업체에서 제공한 패치를 기존 인스턴스에 설치하고 패치가 적용된 인스턴스를 재부팅합니다. 패치가 적용된 이미지 및 공급업체 리소스 CVE 상태를 포함한 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 패치 정보로 연결되는 링크를 제공합니다. 이 이미지를 사용해 VM 인스턴스를 다시 만드세요. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다. 프로젝트 `centos-cloud`: `centos-7-v20180815` `centos-6-v20180815` 프로젝트 `coreos-cloud`: `coreos-stable-1800-7-0-v20180816` `coreos-beta-1855-2-0-v20180816` `coreos-alpha-1871-0-0-v20180816` 프로젝트 `cos-cloud`: `cos-stable-66-10452-110-0` `cos-stable-67-10575-66-0` `cos-beta-68-10718-81-0` `cos-dev-69-10895-23-0` 프로젝트 `debian-cloud`: `debian-9-stretch-v20180820` 프로젝트 `rhel-cloud`: `rhel-7-v20180814` `rhel-6-v20180814` 프로젝트 `rhel-sap-cloud`: `rhel-7-sap-apps-v20180814` `rhel-7-sap-hana-v20180814` 프로젝트 `suse-cloud`: `sles-15-v20180816` `sles-12-sp3-v20180814` `sles-11-sp4-v20180816` 프로젝트 `suse-sap-cloud`: `sles-15-sap-v20180816` `sles-12-sp3-sap-v20180814` `sles-12-sp2-sap-v20180816` 프로젝트 `ubuntu-os-cloud`: `ubuntu-1804-bionic-v20180814` `ubuntu-1604-xenial-v20180814` `ubuntu-1404-trusty-v20180814` `ubuntu-minimal-1804-bionic-v20180814` `ubuntu-minimal-1604-xenial-v20180814` 프로젝트 `windows-cloud` `gce-uefi-images` 및 `windows-sql-cloud`: 버전 번호가 `-v201800814` 이상인 모든 Windows Server 및 SQL Server 공개 이미지는 패치를 포함하고 있습니다.	높음	CVE-2018-3615 CVE-2018-3620 CVE-2018-3646

설명

Intel은 다음과 같은 CVE를 공개했습니다.

CVE-2018-3615(SGX용)
CVE-2018-3620(운영체제 및 SMT용)
CVE-2018-3646(가상화용)

이러한 CVE를 통칭하여 'L1 터미널 오류(L1TF)'라고 합니다.

이러한 L1TF 취약점은 프로세서 수준 데이터 구조의 구성을 공격하는 식의 예측 실행 악용 문제를 안고 있습니다. 'L1'은 레벨 1 데이터 캐시(L1D), 즉 메모리 액세스 가속화에 사용되는 소형 온코어(on-core) 리소스를 의미합니다.

이러한 취약점과 Compute Engine의 완화 조치에 대한 자세한 내용은 Google Cloud 블로그 게시물을 참조하세요.

Compute Engine에 미치는 영향

Compute Engine을 실행하고 고객 워크로드를 서로 격리하는 호스트 인프라는 알려진 공격으로부터 안전합니다.

Compute Engine 고객은 이미지를 업데이트하여 게스트 환경의 간접적 악용 가능성을 막는 것이 좋습니다. 이는 Compute Engine 가상 머신에서 자체 다중 테넌트 서비스를 실행 중인 고객에게 특히 중요한 권장사항입니다.

Compute Engine 고객은 다음 옵션 중 하나를 사용하여 인스턴스에서 게스트 운영체제를 업데이트할 수 있습니다.

패치가 적용된 공개 이미지를 사용해 기존 VM 인스턴스를 다시 만듭니다.
운영체제 공급업체에서 제공한 패치를 기존 인스턴스에 설치하고 패치가 적용된 인스턴스를 재부팅합니다.

패치가 적용된 이미지 및 공급업체 리소스

CVE 상태를 포함한 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 패치 정보로 연결되는 링크를 제공합니다. 이 이미지를 사용해 VM 인스턴스를 다시 만드세요. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다.

프로젝트 centos-cloud:
- centos-7-v20180815
- centos-6-v20180815
프로젝트 coreos-cloud:
- coreos-stable-1800-7-0-v20180816
- coreos-beta-1855-2-0-v20180816
- coreos-alpha-1871-0-0-v20180816
프로젝트 cos-cloud:
- cos-stable-66-10452-110-0
- cos-stable-67-10575-66-0
- cos-beta-68-10718-81-0
- cos-dev-69-10895-23-0
프로젝트 debian-cloud:
- debian-9-stretch-v20180820
프로젝트 rhel-cloud:
- rhel-7-v20180814
- rhel-6-v20180814
프로젝트 rhel-sap-cloud:
- rhel-7-sap-apps-v20180814
- rhel-7-sap-hana-v20180814
프로젝트 suse-cloud:
- sles-15-v20180816
- sles-12-sp3-v20180814
- sles-11-sp4-v20180816
프로젝트 suse-sap-cloud:
- sles-15-sap-v20180816
- sles-12-sp3-sap-v20180814
- sles-12-sp2-sap-v20180816
프로젝트 ubuntu-os-cloud:
- ubuntu-1804-bionic-v20180814
- ubuntu-1604-xenial-v20180814
- ubuntu-1404-trusty-v20180814
- ubuntu-minimal-1804-bionic-v20180814
- ubuntu-minimal-1604-xenial-v20180814
프로젝트 windows-cloud gce-uefi-images 및 windows-sql-cloud:
- 버전 번호가 -v201800814 이상인 모든 Windows Server 및 SQL Server 공개 이미지는 패치를 포함하고 있습니다.

높음

발행 일자: 2018년 8월 6일

최종 업데이트: 2018년 9월 5일 T 17:00(PST)

설명 심각도 참고

설명	심각도	참고
2018년 9월 5일 업데이트 2018년 8월 14일 US-CERT에서 CVE-2018-5391이 공개되었습니다. CVE-2018-5390과 같은 커널 수준의 네트워킹 취약점이며, 취약 시스템에 대한 서비스 거부(DoS) 공격 효과가 증가한다는 문제를 안고 있습니다. 주요한 차이는 CVE-2018-5391은 IP 연결 시 악용될 수 있다는 점입니다. 두 취약점을 모두 고려할 수 있도록 게시판이 업데이트되었습니다. 설명 CVE-2018-5390('SegmentSmack')은 TCP 연결 시 취약 시스템에 대한 서비스 거부(DoS) 공격 효과가 증가하는 커널 수준의 네트워킹 취약점입니다. CVE-2018-5391('FragmentSmack')은 IP 연결 시 취약 시스템에 대한 서비스 거부(DoS) 공격 효과가 증가하는 커널 수준의 네트워킹 취약점입니다. Compute Engine에 미치는 영향 Compute Engine VM을 실행하는 호스트 인프라는 위험하지 않습니다. Compute Engine VM을 오가는 트래픽을 처리하는 네트워크 인프라는 이 취약점으로부터 안전합니다. Compute Engine VM에서 HTTP(S), SSL 또는 TCP 부하 분산기를 통해 신뢰할 수 없는 네트워크 트래픽을 전송/수신하는 경우에 한해 이 취약점으로부터 안전합니다. 패치가 적용되지 않은 운영체제를 실행하는 Compute Engine VM에서 신뢰할 수 없는 네트워크 트래픽을 직접 또는 네트워크 부하 분산기를 통해 전송/수신하는 경우 이 DoS 공격에 취약합니다. 운영체제의 패치가 제공되는 즉시 VM 인스턴스를 업데이트하는 것이 좋습니다. Compute Engine 고객은 다음 옵션 중 하나를 사용하여 인스턴스에서 게스트 운영체제를 업데이트할 수 있습니다. 패치가 적용된 공개 이미지를 사용해 기존 VM 인스턴스를 다시 만듭니다. 패치가 적용된 공개 이미지 목록은 아래를 참조하세요. 운영체제 공급업체에서 제공한 패치를 기존 인스턴스에 설치하고 패치가 적용된 인스턴스를 재부팅합니다. 패치가 적용된 이미지 및 공급업체 리소스 각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 해당 정보로 연결되는 링크를 제공합니다. 프로젝트 `centos-cloud`(CVE-2018-5390만 해당): `centos-7-v20180815` `centos-6-v20180815` 프로젝트 `coreos-cloud`(CVE-2018-5390 및 CVE-2018-5391): `coreos-stable-1800-7-0-v20180816` `coreos-beta-1855-2-0-v20180816` `coreos-alpha-1871-0-0-v20180816` 프로젝트 `cos-cloud`(CVE-2018-5390 및 CVE-2018-5391): `cos-stable-65-10323-98-0` `cos-stable-66-10452-109-0` `cos-stable-67-10575-65-0` `cos-beta-68-10718-76-0` `cos-dev-69-10895-16-0` 프로젝트 `debian-cloud`(CVE-2018-5390 및 CVE-2018-5391): `debian-9-stretch-v20180814` 프로젝트 `rhel-cloud`(CVE-2018-5390만 해당): `rhel-7-v20180814` `rhel-6-v20180814` 프로젝트 `suse-cloud`(CVE-2018-5390 및 CVE-2018-5391): `sles-15-v20180816` `sles-12-sp3-v20180814` 프로젝트 `suse-sap-cloud`(CVE-2018-5390 및 CVE-2018-5391): `sles-15-sap-v20180816` `sles-12-sp3-sap-v20180814` `sles-12-sp2-sap-v20180816` 프로젝트 `ubuntu-os-cloud`(CVE-2018-5390 및 CVE-2018-5391): `ubuntu-1804-bionic-v20180814` `ubuntu-1604-xenial-v20180814` `ubuntu-1404-trusty-v20180814` `ubuntu-minimal-1804-bionic-v20180814` `ubuntu-minimal-1604-xenial-v20180814`	높음	CVE-2018-5390 CVE-2018-5391

2018년 9월 5일 업데이트

2018년 8월 14일 US-CERT에서 CVE-2018-5391이 공개되었습니다. CVE-2018-5390과 같은 커널 수준의 네트워킹 취약점이며, 취약 시스템에 대한 서비스 거부(DoS) 공격 효과가 증가한다는 문제를 안고 있습니다. 주요한 차이는 CVE-2018-5391은 IP 연결 시 악용될 수 있다는 점입니다. 두 취약점을 모두 고려할 수 있도록 게시판이 업데이트되었습니다.

설명

CVE-2018-5390('SegmentSmack')은 TCP 연결 시 취약 시스템에 대한 서비스 거부(DoS) 공격 효과가 증가하는 커널 수준의 네트워킹 취약점입니다.

CVE-2018-5391('FragmentSmack')은 IP 연결 시 취약 시스템에 대한 서비스 거부(DoS) 공격 효과가 증가하는 커널 수준의 네트워킹 취약점입니다.

Compute Engine에 미치는 영향

Compute Engine VM을 실행하는 호스트 인프라는 위험하지 않습니다. Compute Engine VM을 오가는 트래픽을 처리하는 네트워크 인프라는 이 취약점으로부터 안전합니다. Compute Engine VM에서 HTTP(S), SSL 또는 TCP 부하 분산기를 통해 신뢰할 수 없는 네트워크 트래픽을 전송/수신하는 경우에 한해 이 취약점으로부터 안전합니다.

패치가 적용되지 않은 운영체제를 실행하는 Compute Engine VM에서 신뢰할 수 없는 네트워크 트래픽을 직접 또는 네트워크 부하 분산기를 통해 전송/수신하는 경우 이 DoS 공격에 취약합니다.

운영체제의 패치가 제공되는 즉시 VM 인스턴스를 업데이트하는 것이 좋습니다.

Compute Engine 고객은 다음 옵션 중 하나를 사용하여 인스턴스에서 게스트 운영체제를 업데이트할 수 있습니다.

패치가 적용된 공개 이미지를 사용해 기존 VM 인스턴스를 다시 만듭니다. 패치가 적용된 공개 이미지 목록은 아래를 참조하세요.
운영체제 공급업체에서 제공한 패치를 기존 인스턴스에 설치하고 패치가 적용된 인스턴스를 재부팅합니다.

패치가 적용된 이미지 및 공급업체 리소스

각 운영체제 공급업체의 패치 정보가 공개될 때마다 여기에 해당 정보로 연결되는 링크를 제공합니다.

프로젝트 centos-cloud(CVE-2018-5390만 해당):
- centos-7-v20180815
- centos-6-v20180815
프로젝트 coreos-cloud(CVE-2018-5390 및 CVE-2018-5391):
- coreos-stable-1800-7-0-v20180816
- coreos-beta-1855-2-0-v20180816
- coreos-alpha-1871-0-0-v20180816
프로젝트 cos-cloud(CVE-2018-5390 및 CVE-2018-5391):
- cos-stable-65-10323-98-0
- cos-stable-66-10452-109-0
- cos-stable-67-10575-65-0
- cos-beta-68-10718-76-0
- cos-dev-69-10895-16-0
프로젝트 debian-cloud(CVE-2018-5390 및 CVE-2018-5391):
- debian-9-stretch-v20180814
프로젝트 rhel-cloud(CVE-2018-5390만 해당):
- rhel-7-v20180814
- rhel-6-v20180814
프로젝트 suse-cloud(CVE-2018-5390 및 CVE-2018-5391):
- sles-15-v20180816
- sles-12-sp3-v20180814
프로젝트 suse-sap-cloud(CVE-2018-5390 및 CVE-2018-5391):
- sles-15-sap-v20180816
- sles-12-sp3-sap-v20180814
- sles-12-sp2-sap-v20180816
프로젝트 ubuntu-os-cloud(CVE-2018-5390 및 CVE-2018-5391):
- ubuntu-1804-bionic-v20180814
- ubuntu-1604-xenial-v20180814
- ubuntu-1404-trusty-v20180814
- ubuntu-minimal-1804-bionic-v20180814
- ubuntu-minimal-1604-xenial-v20180814

높음

발행 일자: 2018년 1월 3일

최종 업데이트: 2018년 5월 21일 T 15:00(PST)

설명 심각도 참고

설명	심각도	참고
2018년 5월 21일 업데이트 CVE-2018-3640 및 CVE-2018-3639와 각각의 Variants 3a 및 4를 Intel에서 공개했습니다. Spectre 및 Meltdown의 처음 세 변종과 마찬가지로 Compute Engine VM 인스턴스를 실행하는 인프라는 안전하며 고객 VM 인스턴스는 서로 격리되어 보호됩니다. 또한 Compute Engine은 Intel의 마이크로코드 패치를 Google 인프라에 배포할 계획입니다. 이를 통해 단일 VM 인스턴스에서 신뢰할 수 없는 작업 부하나 다중 테넌트 작업 부하를 실행하는 고객은 운영체제 공급업체 및 제공업체에서 완화 조치가 제공되면 추가로 VM 내 완화 효과를 얻을 수 있습니다. Compute Engine은 Intel에서 마이크로코드 패치를 인증하고 Compute Engine에서 프로덕션 환경의 패치 테스트 및 검증을 완료한 후 마이크로코드 패치를 배포할 예정입니다. 자세한 일정과 업데이트가 확보되는 대로 이 페이지에 해당 정보를 제공해 드리겠습니다. 설명 이 CVE는 여러 프로세서에서 제공되는 예측 실행 기술을 악용하는 새로운 클래스의 공격 변종입니다. 이 공격 클래스는 다양한 상황에서 메모리 데이터에 대한 무단 읽기 전용 액세스를 허용할 수 있습니다. Compute Engine에서는 VM 라이브 마이그레이션 기술을 사용해 사용자에게 미치는 영향이 없고 강제적인 유지보수 기간이 없으며 대량 재부팅의 필요성 없이 호스트 시스템과 하이퍼바이저 업데이트를 수행해 왔습니다. 하지만 시스템의 실행 장소에 상관없이 새로운 공격 클래스로부터 보호하기 위해서는 모든 게스트 운영체제 및 버전에 패치를 적용해야 합니다. 이 공격 방법에 대한 자세한 기술적 내용은 Project Zero 블로그 게시물을 참조하세요. 모든 제품별 정보를 포함한 Google의 완화 조치에 대한 자세한 내용은 Google 보안 블로그 글을 참조하세요. Compute Engine에 미치는 영향 Compute Engine을 실행하고 고객 VM 인스턴스를 서로 격리하는 인프라는 알려진 공격으로부터 안전합니다. Google의 완화 조치는 VM 인스턴스 내부에서 실행되는 애플리케이션의 호스트 시스템 무단 액세스를 방지합니다. 이 완화 조치로 동일 호스트 시스템에서 실행되는 VM 인스턴스 간의 무단 액세스도 방지됩니다. 가상 머신 인스턴스 내의 무단 액세스를 막으려면 다음 옵션 중 하나를 사용하여 해당 인스턴스의 게스트 운영체제를 업데이트해야 합니다. 패치가 적용된 공개 이미지를 사용해 기존 VM 인스턴스를 다시 만듭니다. 패치가 적용된 공개 이미지 목록은 아래를 참조하세요. 배포에 이용한 운영체제 공급업체에서 제공한 패치를 기존 인스턴스에 설치하고 패치가 적용된 인스턴스를 재부팅합니다. 각 운영체제 공급업체의 패치 정보는 아래의 링크를 참조하세요. 패치가 적용된 이미지 및 공급업체 리소스 참고: 패치가 적용된 이미지가 이 보안 게시판에 나열된 모든 CVE의 수정사항을 포함하지 않을 수도 있습니다. 또한 다른 이미지에 이러한 공격 유형을 막는 다른 방법이 포함되어 있을 수 있습니다. 운영체제 공급업체에 문의해 공급업체의 패치에서 해결하는 CVE와 사용하는 방지 방법을 확인하세요. 프로젝트 `cos-cloud`: 변이 2(CVE-2017-5715) 및 변이 3(CVE-2017-5754) 공격을 방지하는 패치가 포함되어 있습니다. Google은 이 이미지에 Retpoline을 사용해 변이 2 공격을 완화했습니다. `cos-stable-63-10032-71-0` 또는 이미지 계열 `cos-stable` 프로젝트 `centos-cloud`: CentOS 패치 정보 `centos-7-v20180104` 또는 이미지 계열 `centos-7` `centos-6-v20180104` 또는 이미지 계열 `centos-6` 프로젝트 `coreos-cloud`: CoreOS 패치 정보 `coreos-stable-1576-5-0-v20180105` 또는 이미지 계열 `coreos-stable` `coreos-beta-1632-1-0-v20180105` 또는 이미지 계열 `coreos-beta` `coreos-alpha-1649-0-0-v20180105` 또는 이미지 계열 `coreos-alpha` 프로젝트 `debian-cloud`: Debian 패치 정보 `debian-9-stretch-v20180105` 또는 이미지 계열 `debian-9` `debian-8-jessie-v20180109` 또는 이미지 계열 `debian-8` 프로젝트 `rhel-cloud`: RHEL 패치 정보 `rhel-7-v20180104` 또는 이미지 계열 `rhel-7` `rhel-6-v20180104` 또는 이미지 계열 `rhel-6` 프로젝트 `suse-cloud`: SUSE 패치 정보 `sles-12-sp3-v20180104` 또는 이미지 계열 `sles-12` `sles-11-sp4-v20180104` 또는 이미지 계열 `sles-11` 프로젝트 `suse-sap-cloud`: SUSE 패치 정보 `sles-12-sp3-sap-v20180104` 또는 이미지 계열 `sles-12-sp3-sap` `sles-12-sp2-sap-v20180104` 또는 이미지 계열 `sles-12-sp2-sap` 프로젝트 `ubuntu-os-cloud`: Ubuntu 패치 정보 `ubuntu-1710-artful-v20180109` 또는 이미지 계열 `ubuntu-1710` `ubuntu-1604-xenial-v20180109` 또는 이미지 계열 `ubuntu-1604-lts` `ubuntu-1404-trusty-v20180110` 또는 이미지 계열 `ubuntu-1404-lts` 프로젝트 `windows-cloud` 및 `windows-sql-cloud`: 버전 번호가 `-v20180109` 이상인 모든 Windows Server 및 SQL Server 공개 이미지는 패치를 포함하고 있습니다. 하지만 Windows Server 관련 지침 지원 게시판에 Microsoft가 제공한 권장 작업을 따라 기존 인스턴스 및 새로 만든 인스턴스 모두에 완화 조치를 설정 및 검증해야 합니다. 이 이미지를 사용해 VM 인스턴스를 다시 만드세요. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다. 하드웨어 공급업체 패치 NVIDIA는 패치가 적용된 드라이버를 제공해 NVIDIA® 드라이버 소프트웨어가 설치된 시스템에 예상되는 공격을 완화합니다. 패치가 적용된 드라이버 버전은 NVIDIA의 NVIDIA GPU 디스플레이 드라이버 보안 업데이트 보안 게시판을 참조하세요. 업데이트 기록: 2018년 5월 21일 T 14:00(PST): 2018년 5월 21일에 공개된 2개의 새 변종에 대한 정보를 추가했습니다. 2018년 1월 10일 T 15:00(PST): 패치가 적용된 Windows Server 및 SQL Server 공개 이미지에 대한 정보를 추가했습니다. 2018년 1월 10일 T 10:15(PST): 패치가 적용된 공개 이미지 목록에 여러 Ubuntu 이미지를 추가했습니다. 2018년 1월 10일 T 09:50(PST): 하드웨어 공급업체 패치에 대한 지침을 추가했습니다. 2018년 1월 3일~2018년 1월 9일: 패치가 적용된 공개 이미지 목록에서 여러 사항을 수정했습니다.	높음	CVE-2017-5753 CVE-2017-5715 CVE-2017-5754 CVE-2018-3640 CVE-2018-3639

2018년 5월 21일 업데이트

CVE-2018-3640 및 CVE-2018-3639와 각각의 Variants 3a 및 4를 Intel에서 공개했습니다. Spectre 및 Meltdown의 처음 세 변종과 마찬가지로 Compute Engine VM 인스턴스를 실행하는 인프라는 안전하며 고객 VM 인스턴스는 서로 격리되어 보호됩니다. 또한 Compute Engine은 Intel의 마이크로코드 패치를 Google 인프라에 배포할 계획입니다. 이를 통해 단일 VM 인스턴스에서 신뢰할 수 없는 작업 부하나 다중 테넌트 작업 부하를 실행하는 고객은 운영체제 공급업체 및 제공업체에서 완화 조치가 제공되면 추가로 VM 내 완화 효과를 얻을 수 있습니다. Compute Engine은 Intel에서 마이크로코드 패치를 인증하고 Compute Engine에서 프로덕션 환경의 패치 테스트 및 검증을 완료한 후 마이크로코드 패치를 배포할 예정입니다. 자세한 일정과 업데이트가 확보되는 대로 이 페이지에 해당 정보를 제공해 드리겠습니다.

설명

이 CVE는 여러 프로세서에서 제공되는 예측 실행 기술을 악용하는 새로운 클래스의 공격 변종입니다. 이 공격 클래스는 다양한 상황에서 메모리 데이터에 대한 무단 읽기 전용 액세스를 허용할 수 있습니다.

Compute Engine에서는 VM 라이브 마이그레이션 기술을 사용해 사용자에게 미치는 영향이 없고 강제적인 유지보수 기간이 없으며 대량 재부팅의 필요성 없이 호스트 시스템과 하이퍼바이저 업데이트를 수행해 왔습니다. 하지만 시스템의 실행 장소에 상관없이 새로운 공격 클래스로부터 보호하기 위해서는 모든 게스트 운영체제 및 버전에 패치를 적용해야 합니다.

이 공격 방법에 대한 자세한 기술적 내용은 Project Zero 블로그 게시물을 참조하세요. 모든 제품별 정보를 포함한 Google의 완화 조치에 대한 자세한 내용은 Google 보안 블로그 글을 참조하세요.

Compute Engine에 미치는 영향

Compute Engine을 실행하고 고객 VM 인스턴스를 서로 격리하는 인프라는 알려진 공격으로부터 안전합니다. Google의 완화 조치는 VM 인스턴스 내부에서 실행되는 애플리케이션의 호스트 시스템 무단 액세스를 방지합니다. 이 완화 조치로 동일 호스트 시스템에서 실행되는 VM 인스턴스 간의 무단 액세스도 방지됩니다.

가상 머신 인스턴스 내의 무단 액세스를 막으려면 다음 옵션 중 하나를 사용하여 해당 인스턴스의 게스트 운영체제를 업데이트해야 합니다.

패치가 적용된 공개 이미지를 사용해 기존 VM 인스턴스를 다시 만듭니다. 패치가 적용된 공개 이미지 목록은 아래를 참조하세요.
배포에 이용한 운영체제 공급업체에서 제공한 패치를 기존 인스턴스에 설치하고 패치가 적용된 인스턴스를 재부팅합니다. 각 운영체제 공급업체의 패치 정보는 아래의 링크를 참조하세요.

패치가 적용된 이미지 및 공급업체 리소스

참고: 패치가 적용된 이미지가 이 보안 게시판에 나열된 모든 CVE의 수정사항을 포함하지 않을 수도 있습니다. 또한 다른 이미지에 이러한 공격 유형을 막는 다른 방법이 포함되어 있을 수 있습니다. 운영체제 공급업체에 문의해 공급업체의 패치에서 해결하는 CVE와 사용하는 방지 방법을 확인하세요.

프로젝트 cos-cloud: 변이 2(CVE-2017-5715) 및 변이 3(CVE-2017-5754) 공격을 방지하는 패치가 포함되어 있습니다. Google은 이 이미지에 Retpoline을 사용해 변이 2 공격을 완화했습니다.
- cos-stable-63-10032-71-0 또는 이미지 계열 cos-stable
프로젝트 centos-cloud: CentOS 패치 정보
- centos-7-v20180104 또는 이미지 계열 centos-7
- centos-6-v20180104 또는 이미지 계열 centos-6
프로젝트 coreos-cloud: CoreOS 패치 정보
- coreos-stable-1576-5-0-v20180105 또는 이미지 계열 coreos-stable
- coreos-beta-1632-1-0-v20180105 또는 이미지 계열 coreos-beta
- coreos-alpha-1649-0-0-v20180105 또는 이미지 계열 coreos-alpha
프로젝트 debian-cloud: Debian 패치 정보
- debian-9-stretch-v20180105 또는 이미지 계열 debian-9
- debian-8-jessie-v20180109 또는 이미지 계열 debian-8
프로젝트 rhel-cloud: RHEL 패치 정보
- rhel-7-v20180104 또는 이미지 계열 rhel-7
- rhel-6-v20180104 또는 이미지 계열 rhel-6
프로젝트 suse-cloud: SUSE 패치 정보
- sles-12-sp3-v20180104 또는 이미지 계열 sles-12
- sles-11-sp4-v20180104 또는 이미지 계열 sles-11
프로젝트 suse-sap-cloud: SUSE 패치 정보
- sles-12-sp3-sap-v20180104 또는 이미지 계열 sles-12-sp3-sap
- sles-12-sp2-sap-v20180104 또는 이미지 계열 sles-12-sp2-sap
프로젝트 ubuntu-os-cloud: Ubuntu 패치 정보
- ubuntu-1710-artful-v20180109 또는 이미지 계열 ubuntu-1710
- ubuntu-1604-xenial-v20180109 또는 이미지 계열 ubuntu-1604-lts
- ubuntu-1404-trusty-v20180110 또는 이미지 계열 ubuntu-1404-lts
프로젝트 windows-cloud 및 windows-sql-cloud:
- 버전 번호가 -v20180109 이상인 모든 Windows Server 및 SQL Server 공개 이미지는 패치를 포함하고 있습니다. 하지만 Windows Server 관련 지침 지원 게시판에 Microsoft가 제공한 권장 작업을 따라 기존 인스턴스 및 새로 만든 인스턴스 모두에 완화 조치를 설정 및 검증해야 합니다.

이 이미지를 사용해 VM 인스턴스를 다시 만드세요. 공개 이미지의 이전 버전에는 해당 패치가 포함되어 있지 않으며 예상되는 공격을 완화하지 못합니다.

하드웨어 공급업체 패치

NVIDIA는 패치가 적용된 드라이버를 제공해 NVIDIA® 드라이버 소프트웨어가 설치된 시스템에 예상되는 공격을 완화합니다. 패치가 적용된 드라이버 버전은 NVIDIA의 NVIDIA GPU 디스플레이 드라이버 보안 업데이트 보안 게시판을 참조하세요.

업데이트 기록:

2018년 5월 21일 T 14:00(PST): 2018년 5월 21일에 공개된 2개의 새 변종에 대한 정보를 추가했습니다.
2018년 1월 10일 T 15:00(PST): 패치가 적용된 Windows Server 및 SQL Server 공개 이미지에 대한 정보를 추가했습니다.
2018년 1월 10일 T 10:15(PST): 패치가 적용된 공개 이미지 목록에 여러 Ubuntu 이미지를 추가했습니다.
2018년 1월 10일 T 09:50(PST): 하드웨어 공급업체 패치에 대한 지침을 추가했습니다.
2018년 1월 3일~2018년 1월 9일: 패치가 적용된 공개 이미지 목록에서 여러 사항을 수정했습니다.

높음

발행 일자: 2017년 10월 2일

설명	심각도	참고
Dnsmasq DNS, DHCP, 라우터 알림, 네트워크 부팅을 위한 기능을 제공합니다. 이 소프트웨어는 일반적으로 데스크톱 Linux 배포판(Ubuntu 등), 홈 라우터, IoT 기기와 같은 다양한 시스템에 설치할 수 있습니다. Dnsmasq는 개방 인터넷 환경부터 비공개 네트워크 내부까지 폭넓게 사용됩니다. Google은 자체 정기 내부 보안 평가에서 뚜렷한 문제 7가지를 발견했습니다. 이러한 문제의 심각성을 파악한 후 그 영향과 취약점 악용 가능성을 조사한 다음 각각에 대한 내부 개념 증명을 작성했습니다. 또한 문제를 완화할 수 있도록 Dnsmasq 유지 관리 담당자인 Simon Kelly와 함께 적절한 패치를 개발하기 위한 노력을 기울였습니다. 리뷰 팀은 잠재적 원격 코드 실행 3건, 정보 유출 1건, 2017년 9월 5일자 프로젝트 git 서버의 최신 버전에 영향을 미치는 서비스 거부 취약점 3건을 발견했습니다. 패치는 프로젝트 Git 저장소에 업스트림 및 커밋되어 있습니다. Compute Engine에 미치는 영향 기본적으로 Dnsmasq는 NetworkManager를 사용하는 이미지에만 설치 가능하며 비활성화되어 있습니다. 다음 Compute Engine 공개 이미지에는 Dnsmasq가 설치되어 있습니다. Ubuntu 16.04, 16.10, 17.04 CentOS 7 RHEL 7 하지만 다른 이미지의 경우 Dnsmasq가 다른 패키지에 대한 종속 항목으로 설치될 수 있습니다. 최신 운영체제 이미지를 사용하려면 Debian, Ubuntu, CentOS, RHEL, SLES, OpenSuse 인스턴스를 업데이트하는 것이 좋습니다. CoreOS와 Container-Optimized OS는 영향을 받지 않습니다. Windows 이미지도 영향을 받지 않습니다. Debian과 Ubuntu를 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다. sudo apt-get -y update sudo apt-get -y dist-upgrade Red Hat Enterprise Linux와 CentOS 인스턴스의 경우 다음을 실행하세요. sudo yum -y upgrade SLES와 OpenSUSE 이미지의 경우 다음을 실행하세요. sudo zypper up 수동 업데이트 명령어를 실행하는 대신 해당 운영체제의 이미지 계열을 사용하여 VM 인스턴스를 다시 생성할 수 있습니다.	높음	CVE-2017-14491 CVE-2017-14492 CVE-2017-14493 CVE-2017-14494 CVE-2017-14495 CVE-2017-14496 CVE-2017-13704

설명

심각도

참고

Dnsmasq DNS, DHCP, 라우터 알림, 네트워크 부팅을 위한 기능을 제공합니다. 이 소프트웨어는 일반적으로 데스크톱 Linux 배포판(Ubuntu 등), 홈 라우터, IoT 기기와 같은 다양한 시스템에 설치할 수 있습니다. Dnsmasq는 개방 인터넷 환경부터 비공개 네트워크 내부까지 폭넓게 사용됩니다.

Google은 자체 정기 내부 보안 평가에서 뚜렷한 문제 7가지를 발견했습니다. 이러한 문제의 심각성을 파악한 후 그 영향과 취약점 악용 가능성을 조사한 다음 각각에 대한 내부 개념 증명을 작성했습니다. 또한 문제를 완화할 수 있도록 Dnsmasq 유지 관리 담당자인 Simon Kelly와 함께 적절한 패치를 개발하기 위한 노력을 기울였습니다.

리뷰 팀은 잠재적 원격 코드 실행 3건, 정보 유출 1건, 2017년 9월 5일자 프로젝트 git 서버의 최신 버전에 영향을 미치는 서비스 거부 취약점 3건을 발견했습니다.

패치는 프로젝트 Git 저장소에 업스트림 및 커밋되어 있습니다.

Compute Engine에 미치는 영향

기본적으로 Dnsmasq는 NetworkManager를 사용하는 이미지에만 설치 가능하며 비활성화되어 있습니다. 다음 Compute Engine 공개 이미지에는 Dnsmasq가 설치되어 있습니다.

Ubuntu 16.04, 16.10, 17.04
CentOS 7
RHEL 7

하지만 다른 이미지의 경우 Dnsmasq가 다른 패키지에 대한 종속 항목으로 설치될 수 있습니다. 최신 운영체제 이미지를 사용하려면 Debian, Ubuntu, CentOS, RHEL, SLES, OpenSuse 인스턴스를 업데이트하는 것이 좋습니다. CoreOS와 Container-Optimized OS는 영향을 받지 않습니다. Windows 이미지도 영향을 받지 않습니다.

Debian과 Ubuntu를 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다.

sudo apt-get -y update

sudo apt-get -y dist-upgrade

Red Hat Enterprise Linux와 CentOS 인스턴스의 경우 다음을 실행하세요.

sudo yum -y upgrade

SLES와 OpenSUSE 이미지의 경우 다음을 실행하세요.

sudo zypper up

수동 업데이트 명령어를 실행하는 대신 해당 운영체제의 이미지 계열을 사용하여 VM 인스턴스를 다시 생성할 수 있습니다.

높음

발행 일자: 2016년 10월 26일

설명 심각도 참고

설명	심각도	참고
CVE-2016-5195는 쓰기 권한에서 COW 상황이 발생할 때 Linux 커널의 메모리 하위 시스템이 읽기 전용 비공개 매핑의 손상을 처리하는 방식에서 발견된 경합 상태입니다. 권한이 없는 로컬 사용자는 이 결함을 사용하여 읽기 전용 메모리 매핑에 대한 쓰기 권한을 얻어 시스템에 대한 권한을 늘릴 수 있습니다. 자세한 내용은 Dirty COW FAQ를 참조하세요. Compute Engine에 미치는 영향 Compute Engine의 모든 Linux 배포판 및 버전이 영향을 받습니다. 대부분의 인스턴스는 최신 커널을 자동으로 다운로드 및 설치합니다. 하지만 실행 중인 시스템을 패치하려면 재부팅이 필요합니다. 다음 Compute Engine 이미지를 기반으로 하는 새 인스턴스 또는 다시 생성된 인스턴스에는 패치가 적용된 커널이 이미 설치되어 있습니다. `centos-6-v20161026` `centos-7-v20161025` `coreos-alpha-1192-2-0-v20161021` `coreos-beta-1185-2-0-v20161021` `coreos-stable-1122-3-0-v20161021` `debian-8-jessie-v20161020` `rhel-6-v20161026` `rhel-7-v20161024` `sles-11-sp4-v20161021` `sles-12-sp1-v20161021` `ubuntu-1204-precise-v20161020` `ubuntu-1404-trusty-v20161020` `ubuntu-1604-xenial-v20161020` `ubuntu-1610-yakkety-v20161020`	높음	CVE-2016-5195

CVE-2016-5195는 쓰기 권한에서 COW 상황이 발생할 때 Linux 커널의 메모리 하위 시스템이 읽기 전용 비공개 매핑의 손상을 처리하는 방식에서 발견된 경합 상태입니다.

권한이 없는 로컬 사용자는 이 결함을 사용하여 읽기 전용 메모리 매핑에 대한 쓰기 권한을 얻어 시스템에 대한 권한을 늘릴 수 있습니다.

자세한 내용은 Dirty COW FAQ를 참조하세요.

Compute Engine에 미치는 영향

Compute Engine의 모든 Linux 배포판 및 버전이 영향을 받습니다. 대부분의 인스턴스는 최신 커널을 자동으로 다운로드 및 설치합니다. 하지만 실행 중인 시스템을 패치하려면 재부팅이 필요합니다.

다음 Compute Engine 이미지를 기반으로 하는 새 인스턴스 또는 다시 생성된 인스턴스에는 패치가 적용된 커널이 이미 설치되어 있습니다.

centos-6-v20161026
centos-7-v20161025
coreos-alpha-1192-2-0-v20161021
coreos-beta-1185-2-0-v20161021
coreos-stable-1122-3-0-v20161021
debian-8-jessie-v20161020
rhel-6-v20161026
rhel-7-v20161024
sles-11-sp4-v20161021
sles-12-sp1-v20161021
ubuntu-1204-precise-v20161020
ubuntu-1404-trusty-v20161020
ubuntu-1604-xenial-v20161020
ubuntu-1610-yakkety-v20161020

높음

CVE-2016-5195

발행 일자: 2016년 2월 16일

최종 업데이트: 2016년 2월 22일

설명 심각도 참고

설명	심각도	참고
CVE-2015-7547은 glibc DNS 클라이언트측 확인자가 소프트웨어를 스택 기반 버퍼 오버플로에 취약하게 만드는 취약성입니다(`getaddrinfo()` 라이브러리 함수 사용 시). 공격자는 공격자 제어 도메인 이름, 공격자 제어 DNS 서버 또는 중간자 공격을 통해 이 취약점을 악용하는 함수를 사용하여 소프트웨어를 이용할 수 있습니다. 자세히 알아보려면 Google 보안 블로그 게시물 또는 Common Vulnerabilities and Exposures(CVE) 데이터베이스를 참조하세요. Compute Engine에 미치는 영향 업데이트(2016년 2월 22일): 이제 다음과 같은 CoreOS, SLES, OpenSUSE 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다. `coreos-alpha-962-0-0-v20160218` `coreos-beta-899-7-0-v20160218` `coreos-stable-835-13-0-v20160218` `opensuse-13-2-v20160222` `opensuse-leap-42-1-v20160222` `sles-11-sp4-v20160222` `sles-12-sp1-v20160222` 업데이트(2016년 2월 17일): 이제 다음 명령어를 실행하여 Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.10 인스턴스에 대한 업데이트를 수행할 수 있습니다. `user@my-instance:~$ sudo apt-get -y update` `user@my-instance:~$ sudo apt-get -y dist-upgrade` `user@my-instance:~$ sudo reboot` 수동 업데이트 명령어를 실행하는 대신 다음과 같은 새 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다. `backports-debian-7-wheezy-v20160216` `centos-6-v20160216` `centos-7-v20160216` `debian-7-wheezy-v20160216` `debian-8-jessie-v20160216` `rhel-6-v20160216` `rhel-7-v20160216` `ubuntu-1204-precise-v20160217a` `ubuntu-1404-trusty-v20160217a` `ubuntu-1510-wily-v20160217` Google은 기본 glibc 구성을 갖춘 Compute Engine의 DNS 확인자를 통해 이 취약점을 악용할 수 있는 방법에 대해서는 알지 못합니다. 하지만 최대한 빨리 가상 머신 인스턴스를 패치해야 합니다. 모든 새로운 취약점이 그러하듯 시간이 지나면서 새로운 악용 방법이 발견될 수 있기 때문입니다. edns0(기본적으로 사용 중지됨)이 사용 설정되어 있다면 인스턴스가 패치될 때까지 사용 중지해야 합니다. 이전 게시판: Linux 배포판은 취약할 수 있습니다. Compute Engine 고객은 Linux OS를 실행하는 경우 이 취약점을 제거하기 위해 인스턴스의 OS 이미지를 업데이트해야 합니다. Debian을 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다. `user@my-instance:~$ sudo apt-get -y update` `user@my-instance:~$ sudo apt-get -y dist-upgrade` `user@my-instance:~$ sudo reboot` 또한 Debian 인스턴스에 UnattendedUpgrades 를 설치하는 것이 좋습니다. Red Hat Enterprise Linux 인스턴스의 경우: `user@my-instance:~$ sudo yum -y upgrade` `user@my-instance:~$ sudo reboot` 다른 운영체제 유지 관리자가 이 취약점에 대한 패치를 게시하고 Compute Engine에서 업데이트된 OS 이미지를 출시할 때 이 게시판도 지속적으로 함께 업데이트됩니다.	높음	CVE-2015-7547

CVE-2015-7547은 glibc DNS 클라이언트측 확인자가 소프트웨어를 스택 기반 버퍼 오버플로에 취약하게 만드는 취약성입니다(getaddrinfo() 라이브러리 함수 사용 시). 공격자는 공격자 제어 도메인 이름, 공격자 제어 DNS 서버 또는 중간자 공격을 통해 이 취약점을 악용하는 함수를 사용하여 소프트웨어를 이용할 수 있습니다.

자세히 알아보려면 Google 보안 블로그 게시물 또는 Common Vulnerabilities and Exposures(CVE) 데이터베이스를 참조하세요.

Compute Engine에 미치는 영향

업데이트(2016년 2월 22일):

이제 다음과 같은 CoreOS, SLES, OpenSUSE 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다.

coreos-alpha-962-0-0-v20160218
coreos-beta-899-7-0-v20160218
coreos-stable-835-13-0-v20160218
opensuse-13-2-v20160222
opensuse-leap-42-1-v20160222
sles-11-sp4-v20160222
sles-12-sp1-v20160222

업데이트(2016년 2월 17일):

이제 다음 명령어를 실행하여 Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.10 인스턴스에 대한 업데이트를 수행할 수 있습니다.

user@my-instance:~$ sudo apt-get -y update
user@my-instance:~$ sudo apt-get -y dist-upgrade
user@my-instance:~$ sudo reboot

수동 업데이트 명령어를 실행하는 대신 다음과 같은 새 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다.

backports-debian-7-wheezy-v20160216
centos-6-v20160216
centos-7-v20160216
debian-7-wheezy-v20160216
debian-8-jessie-v20160216
rhel-6-v20160216
rhel-7-v20160216
ubuntu-1204-precise-v20160217a
ubuntu-1404-trusty-v20160217a
ubuntu-1510-wily-v20160217

Google은 기본 glibc 구성을 갖춘 Compute Engine의 DNS 확인자를 통해 이 취약점을 악용할 수 있는 방법에 대해서는 알지 못합니다. 하지만 최대한 빨리 가상 머신 인스턴스를 패치해야 합니다. 모든 새로운 취약점이 그러하듯 시간이 지나면서 새로운 악용 방법이 발견될 수 있기 때문입니다. edns0(기본적으로 사용 중지됨)이 사용 설정되어 있다면 인스턴스가 패치될 때까지 사용 중지해야 합니다.

이전 게시판:

Linux 배포판은 취약할 수 있습니다. Compute Engine 고객은 Linux OS를 실행하는 경우 이 취약점을 제거하기 위해 인스턴스의 OS 이미지를 업데이트해야 합니다.

Debian을 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다.

user@my-instance:~$ sudo apt-get -y update
user@my-instance:~$ sudo apt-get -y dist-upgrade
user@my-instance:~$ sudo reboot

또한 Debian 인스턴스에 UnattendedUpgrades 를 설치하는 것이 좋습니다.

Red Hat Enterprise Linux 인스턴스의 경우:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

다른 운영체제 유지 관리자가 이 취약점에 대한 패치를 게시하고 Compute Engine에서 업데이트된 OS 이미지를 출시할 때 이 게시판도 지속적으로 함께 업데이트됩니다.

높음

CVE-2015-7547

발행 일자: 2015년 3월 19일

설명	심각도	참고
CVE-2015-1427은 버전 1.3.8보다 이전 및 1.4.3보다 이전인 모든 1.4.x 버전에 해당하는 Elasticsearch의 Groovy 스크립팅 엔진에서 원격 공격자가 샌드박스 보호 메커니즘을 우회하고 임의의 셸 명령어를 실행할 수 있게 하는 취약점입니다. 자세히 알아보려면 National Vulnerability Database(NVD) 또는 Common Vulnerabilities and Exposures(CVE) 데이터베이스를 참조하세요. Compute Engine에 미치는 영향 Compute Engine 인스턴스에서 Elasticsearch를 실행 중인 경우 Elasticsearch를 버전 1.4.3 이상으로 업그레이드해야 합니다. 이미 Elasticsearch 소프트웨어를 업그레이드했다면 이 취약점으로부터 보호됩니다. Elasticsearch 1.4.3 이상으로 업그레이드하지 않은 경우 롤링 업그레이드를 수행할 수 있습니다. Elasticsearch를 배포할 때 Google Cloud console의 클릭하여 배포를 사용했다면 Elasticsearch를 실행하는 인스턴스를 삭제하기 위해 배포를 삭제할 수 있습니다. Google Cloud 팀은 Elasticsearch의 업데이트된 버전을 배포하기 위한 해결책을 마련하고 있습니다. 하지만 아직 Google Cloud console의 클릭하여 배포 기능에 대한 해결책은 마련되지 않았습니다.	높음	CVE-2015-1427

설명

심각도

참고

CVE-2015-1427은 버전 1.3.8보다 이전 및 1.4.3보다 이전인 모든 1.4.x 버전에 해당하는 Elasticsearch의 Groovy 스크립팅 엔진에서 원격 공격자가 샌드박스 보호 메커니즘을 우회하고 임의의 셸 명령어를 실행할 수 있게 하는 취약점입니다.

자세히 알아보려면 National Vulnerability Database(NVD) 또는 Common Vulnerabilities and Exposures(CVE) 데이터베이스를 참조하세요.

Compute Engine에 미치는 영향

Compute Engine 인스턴스에서 Elasticsearch를 실행 중인 경우 Elasticsearch를 버전 1.4.3 이상으로 업그레이드해야 합니다. 이미 Elasticsearch 소프트웨어를 업그레이드했다면 이 취약점으로부터 보호됩니다.

Elasticsearch 1.4.3 이상으로 업그레이드하지 않은 경우 롤링 업그레이드를 수행할 수 있습니다.

Elasticsearch를 배포할 때 Google Cloud console의 클릭하여 배포를 사용했다면 Elasticsearch를 실행하는 인스턴스를 삭제하기 위해 배포를 삭제할 수 있습니다.

Google Cloud 팀은 Elasticsearch의 업데이트된 버전을 배포하기 위한 해결책을 마련하고 있습니다. 하지만 아직 Google Cloud console의 클릭하여 배포 기능에 대한 해결책은 마련되지 않았습니다.

높음

CVE-2015-1427

발행 일자: 2015년 1월 29일

설명 심각도 참고

설명	심각도	참고
CVE-2015-0235(Ghost) 는 glibc 라이브러리의 취약점입니다. App Engine, Cloud Storage, BigQuery, Cloud SQL 고객은 조치를 취할 필요가 없습니다. Google 서버는 업데이트되어 있으며 이 취약점으로부터 보호됩니다. Compute Engine 고객은 OS 이미지를 업데이트해야 할 수 있습니다. Compute Engine에 미치는 영향 Linux 배포판은 취약할 수 있습니다. Debian 7, Debian 7 백포트, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS, SUSE Linux Enterprise Server 11 SP3을 실행 중인 고객이 이 취약점을 제거하려면 인스턴스의 OS 이미지를 업데이트해야 합니다. 이 취약점은 Ubuntu 14.04 LTS, Ubuntu 14.10, SUSE Linux Enterprise Server 12에 영향을 미치지 않습니다. Linux 배포판을 업그레이드하는 것이 좋습니다. Debian 7, Debian 7 백포트, Ubuntu 12.04 LTS를 실행하는 인스턴스의 경우, 인스턴트에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다. `user@my-instance:~$ sudo apt-get update` `user@my-instance:~$ sudo apt-get -y upgrade` `user@my-instance:~$ sudo reboot` Red Hat Enterprise Linux 또는 CentOS 인스턴스의 경우: `user@my-instance:~$ sudo yum -y upgrade` `user@my-instance:~$ sudo reboot` SUSE Linux Enterprise Server 11 SP3 인스턴스의 경우: `user@my-instance:~$ sudo zypper --non-interactive up` `user@my-instance:~$ sudo reboot` 위의 수동 업데이트 명령어를 실행하는 대신 사용자는 다음과 같은 새 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다. `debian-7-wheezy-v20150127` `backports-debian-7-wheezy-v20150127` `centos-6-v20150127` `centos-7-v20150127` `rhel-6-v20150127` `rhel-7-v20150127` `sles-11-sp3-v20150127` `ubuntu-1204-precise-v20150127` Google 관리형 VM에 미치는 영향 `gcloud preview app deploy`를 사용하는 관리형 VM 사용자는 `gcloud preview app setup-managed-vms`를 통해 베이스 Docker 컨테이너를 업데이트해야 하며 `gcloud preview app deploy`를 사용하여 실행 중인 각각의 앱을 다시 배포해야 합니다. `appcfg`를 통해 배포한 사용자는 조치를 취하지 않아도 자동으로 업그레이드됩니다.	높음	CVE-2015-0235

CVE-2015-0235(Ghost) 는 glibc 라이브러리의 취약점입니다.

App Engine, Cloud Storage, BigQuery, Cloud SQL 고객은 조치를 취할 필요가 없습니다. Google 서버는 업데이트되어 있으며 이 취약점으로부터 보호됩니다.

Compute Engine 고객은 OS 이미지를 업데이트해야 할 수 있습니다.

Compute Engine에 미치는 영향

Linux 배포판은 취약할 수 있습니다. Debian 7, Debian 7 백포트, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS, SUSE Linux Enterprise Server 11 SP3을 실행 중인 고객이 이 취약점을 제거하려면 인스턴스의 OS 이미지를 업데이트해야 합니다.

이 취약점은 Ubuntu 14.04 LTS, Ubuntu 14.10, SUSE Linux Enterprise Server 12에 영향을 미치지 않습니다.

Linux 배포판을 업그레이드하는 것이 좋습니다. Debian 7, Debian 7 백포트, Ubuntu 12.04 LTS를 실행하는 인스턴스의 경우, 인스턴트에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다.

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

Red Hat Enterprise Linux 또는 CentOS 인스턴스의 경우:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

SUSE Linux Enterprise Server 11 SP3 인스턴스의 경우:

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

위의 수동 업데이트 명령어를 실행하는 대신 사용자는 다음과 같은 새 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다.

debian-7-wheezy-v20150127
backports-debian-7-wheezy-v20150127
centos-6-v20150127
centos-7-v20150127
rhel-6-v20150127
rhel-7-v20150127
sles-11-sp3-v20150127
ubuntu-1204-precise-v20150127

Google 관리형 VM에 미치는 영향

gcloud preview app deploy를 사용하는 관리형 VM 사용자는 gcloud preview app setup-managed-vms를 통해 베이스 Docker 컨테이너를 업데이트해야 하며 gcloud preview app deploy를 사용하여 실행 중인 각각의 앱을 다시 배포해야 합니다. appcfg를 통해 배포한 사용자는 조치를 취하지 않아도 자동으로 업그레이드됩니다.

높음

CVE-2015-0235

발행 일자: 2014년 10월 15일

최종 업데이트: 2014년 10월 17일

설명 심각도 참고

설명	심각도	참고
CVE-2014-3566(또는 POODLE)은 SSL 버전 3.0의 설계상의 취약점입니다. 이 취약점으로 인해 네트워크 공격자가 보안 연결의 일반 텍스트를 계산할 수 있습니다. 자세한 내용은 취약점에 대한 블로그 게시물을 참조하세요. App Engine, Cloud Storage, BigQuery, Cloud SQL 고객은 조치를 취할 필요가 없습니다. Google 서버는 업데이트되어 있으며 이 취약점으로부터 보호됩니다. Compute Engine 고객은 OS 이미지를 업데이트해야 합니다. Compute Engine에 미치는 영향 업데이트(2014년 10월 17일): SSLv3을 사용하는 경우 취약할 수 있습니다. Compute Engine 고객은 이 취약점을 제거하기 위해 인스턴스의 OS 이미지를 업데이트해야 합니다. Linux 배포판을 업그레이드하는 것이 좋습니다. Debian을 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다. user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot CentOS 인스턴스의 경우: user@my-instance:~$ sudo yum -y upgrade user@my-instance:~$ sudo reboot 위의 수동 업데이트 명령어를 실행하는 대신 사용자는 다음과 같은 새 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다. `centos-6-v20141016` `centos-7-v20141016` `debian-7-wheezy-v20141017` `backports-debian-7-wheezy-v20141017` Google은 이미지가 확보되면 RHEL 및 SLES 이미지에 대한 게시판을 업데이트합니다. 그때까지 RHEL 사용자는 Red Hat에서 직접 자세한 정보를 참조할 수 있습니다. 이전 게시판: Compute Engine 고객은 이 취약점을 제거하기 위해 인스턴스의 OS 이미지를 업데이트해야 합니다. Google은 새 OS 이미지가 확보되면 안내와 함께 이 보안 게시판을 업데이트합니다.	보통	CVE-2014-3566

CVE-2014-3566(또는 POODLE)은 SSL 버전 3.0의 설계상의 취약점입니다. 이 취약점으로 인해 네트워크 공격자가 보안 연결의 일반 텍스트를 계산할 수 있습니다. 자세한 내용은 취약점에 대한 블로그 게시물을 참조하세요.

App Engine, Cloud Storage, BigQuery, Cloud SQL 고객은 조치를 취할 필요가 없습니다. Google 서버는 업데이트되어 있으며 이 취약점으로부터 보호됩니다. Compute Engine 고객은 OS 이미지를 업데이트해야 합니다.

Compute Engine에 미치는 영향

업데이트(2014년 10월 17일):

SSLv3을 사용하는 경우 취약할 수 있습니다. Compute Engine 고객은 이 취약점을 제거하기 위해 인스턴스의 OS 이미지를 업데이트해야 합니다.

Linux 배포판을 업그레이드하는 것이 좋습니다. Debian을 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다.

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

CentOS 인스턴스의 경우:

user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

위의 수동 업데이트 명령어를 실행하는 대신 사용자는 다음과 같은 새 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다.

centos-6-v20141016
centos-7-v20141016
debian-7-wheezy-v20141017
backports-debian-7-wheezy-v20141017

Google은 이미지가 확보되면 RHEL 및 SLES 이미지에 대한 게시판을 업데이트합니다. 그때까지 RHEL 사용자는 Red Hat에서 직접 자세한 정보를 참조할 수 있습니다.

이전 게시판:

Compute Engine 고객은 이 취약점을 제거하기 위해 인스턴스의 OS 이미지를 업데이트해야 합니다. Google은 새 OS 이미지가 확보되면 안내와 함께 이 보안 게시판을 업데이트합니다.

보통

CVE-2014-3566

발행 일자: 2014년 9월 24일

최종 업데이트: 2014년 9월 29일

설명 심각도 참고

설명	심각도	참고
Bash에 공격자가 제어하는 환경 변수를 파싱하여 원격 코드를 실행할 수 있는 버그(CVE-2014-6271)가 있습니다. 악용 가능성이 가장 큰 벡터는 웹 서버에 노출된 CGI 스크립트에 대한 악성 HTTP 요청을 통해 발생합니다. 자세한 내용은 버그 설명 을 참조하세요. 20140926 이전의 Compute Engine 게스트 OS 이미지를 제외한 Google Cloud 제품의 bash 버그가 완화되었습니다. Compute Engine 이미지의 버그를 완화하는 단계는 아래를 참조하세요. Compute Engine에 미치는 영향 이 버그는 CGI 스크립트를 사용하는 거의 모든 웹사이트에 영향을 미칠 수 있습니다. 또한 이 버그는 `popen`, `system`, `shell_exec` 또는 유사한 API와 같은 호출을 사용하여 셸 명령어를 호출하는 PHP, Perl, Python, SSI, Java, C++ 및 유사한 서블릿에 의존하는 웹사이트에 영향을 미칠 수 있습니다. 또한 SSH 명령어 제한이나 Bash 제한 셸과 같은 메커니즘을 통해 제한된 사용자에게 제어된 로그인 액세스를 허용하려는 시스템에 영향을 미칠 수 있습니다. 업데이트(2014년 9월 29일): 아래의 수동 업데이트 명령어를 실행하는 대신 CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187을 포함한 Bash 보안 버그와 관련된 추가 취약점을 완화하는 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다. 인스턴스를 다시 만들려면 다음과 같은 새 이미지를 사용하세요. `centos-6-v20140926` `centos-7-v20140926` `debian-7-wheezy-v20140926` `backports-debian-7-wheezy-v20140926` `rhel-6-v20140926` 업데이트(2014년 9월 25일): 이제 사용자는 수동 업데이트를 수행하는 대신 인스턴스를 다시 만들 수 있습니다. 인스턴스를 다시 만들려면 이 보안 버그에 대한 수정 사항이 포함된 다음과 같은 새 이미지를 사용하세요. `backports-debian-7-wheezy-v20140924` `debian-7-wheezy-v20140924` `rhel-6-v20140924` `centos-6-v20140924` `centos-7-v20140924` RHEL 및 SUSE 이미지의 경우, 인스턴스에서 다음 명령어를 실행하여 수동으로 업데이트를 수행할 수도 있습니다. # RHEL instances user@my-instance:~$ sudo yum -y upgrade # SUSE instances user@my-instance:~$ sudo zypper --non-interactive up 이전 게시판: Linux 배포판을 업그레이드하는 것이 좋습니다. Debian을 실행하는 인스턴스의 경우, 인스턴스에서 다음 명령어를 실행하여 업데이트를 수행할 수 있습니다. user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade CentOS 인스턴스의 경우: user@my-instance:~$ sudo yum -y upgrade 자세한 정보는 해당 Linux 배포판에 대한 공지를 검토하세요. 이전 패치: http://ftp.gnu.org/gnu/bash/ (해당 버전에 대해서는 *-패치의 마지막 항목을 참조) Debian: [SECURITY] [DSA 3032-1] Bash 보안 업데이트 RHEL: RHSA-2014:1293-01 RHSA-2014:1294-01 CentOS 5: [CentOS-announce] CESA-2014:1293 CentOS 6: [CentOS-announce] CESA-2014:1293 CentOS 7: [CentOS-announce] CESA-2014:1293	높음	CVE-2014-7169, CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187

Bash에 공격자가 제어하는 환경 변수를 파싱하여 원격 코드를 실행할 수 있는 버그(CVE-2014-6271)가 있습니다. 악용 가능성이 가장 큰 벡터는 웹 서버에 노출된 CGI 스크립트에 대한 악성 HTTP 요청을 통해 발생합니다. 자세한 내용은 버그 설명 을 참조하세요.

20140926 이전의 Compute Engine 게스트 OS 이미지를 제외한 Google Cloud 제품의 bash 버그가 완화되었습니다. Compute Engine 이미지의 버그를 완화하는 단계는 아래를 참조하세요.

Compute Engine에 미치는 영향

이 버그는 CGI 스크립트를 사용하는 거의 모든 웹사이트에 영향을 미칠 수 있습니다. 또한 이 버그는 popen, system, shell_exec 또는 유사한 API와 같은 호출을 사용하여 셸 명령어를 호출하는 PHP, Perl, Python, SSI, Java, C++ 및 유사한 서블릿에 의존하는 웹사이트에 영향을 미칠 수 있습니다. 또한 SSH 명령어 제한이나 Bash 제한 셸과 같은 메커니즘을 통해 제한된 사용자에게 제어된 로그인 액세스를 허용하려는 시스템에 영향을 미칠 수 있습니다.

업데이트(2014년 9월 29일):

아래의 수동 업데이트 명령어를 실행하는 대신 CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187을 포함한 Bash 보안 버그와 관련된 추가 취약점을 완화하는 이미지를 사용하여 인스턴스를 다시 만들 수 있습니다. 인스턴스를 다시 만들려면 다음과 같은 새 이미지를 사용하세요.

centos-6-v20140926
centos-7-v20140926
debian-7-wheezy-v20140926
backports-debian-7-wheezy-v20140926
rhel-6-v20140926

업데이트(2014년 9월 25일):

이제 사용자는 수동 업데이트를 수행하는 대신 인스턴스를 다시 만들 수 있습니다. 인스턴스를 다시 만들려면 이 보안 버그에 대한 수정 사항이 포함된 다음과 같은 새 이미지를 사용하세요.

backports-debian-7-wheezy-v20140924
debian-7-wheezy-v20140924
rhel-6-v20140924
centos-6-v20140924
centos-7-v20140924

RHEL 및 SUSE 이미지의 경우, 인스턴스에서 다음 명령어를 실행하여 수동으로 업데이트를 수행할 수도 있습니다.

# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

이전 게시판:

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

CentOS 인스턴스의 경우:

user@my-instance:~$ sudo yum -y upgrade

자세한 정보는 해당 Linux 배포판에 대한 공지를 검토하세요.

이전 패치: http://ftp.gnu.org/gnu/bash/ (해당 버전에 대해서는 *-패치의 마지막 항목을 참조)
Debian: [SECURITY] [DSA 3032-1] Bash 보안 업데이트
RHEL:
- RHSA-2014:1293-01
- RHSA-2014:1294-01
CentOS 5: [CentOS-announce] CESA-2014:1293
CentOS 6: [CentOS-announce] CESA-2014:1293
CentOS 7: [CentOS-announce] CESA-2014:1293

높음

CVE-2014-7169, CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187

발행 일자: 2014년 7월 25일

설명 심각도 참고

설명	심각도	참고
Elasticsearch Logstash는 데이터의 무단 수정 및 공개를 허용할 수 있는 OS 명령어 삽입에 취약합니다. 공격자는 Logstash의 데이터 소스에 조작된 이벤트를 전송하여 Logstash 프로세스의 허가를 받아 명령어를 실행할 수 있습니다. Compute Engine에 미치는 영향 이 취약점은 zabbix 또는 nagios_nsca 출력이 사용 설정되고 1.4.2보다 이전 버전인 Elasticsearch Logstash를 실행하는 모든 Compute Engine 인스턴스에 영향을 미칩니다. 공격을 예방하는 방법은 다음과 같습니다. Logstash 1.4.2로 업그레이드 1.3.x 버전용 패치 적용 `zabbix` 및 `nagios_nsca` 출력을 사용 중지합니다. 자세한 내용은 Logstash 블로그를 참조하세요. Elasticsearch는 또한 신뢰할 수 없는 IP를 통한 원격 액세스를 차단하기 위해 방화벽을 사용할 것을 권장합니다.	높음	CVE-2014-4326

Elasticsearch Logstash는 데이터의 무단 수정 및 공개를 허용할 수 있는 OS 명령어 삽입에 취약합니다. 공격자는 Logstash의 데이터 소스에 조작된 이벤트를 전송하여 Logstash 프로세스의 허가를 받아 명령어를 실행할 수 있습니다.

Compute Engine에 미치는 영향

이 취약점은 zabbix 또는 nagios_nsca 출력이 사용 설정되고 1.4.2보다 이전 버전인 Elasticsearch Logstash를 실행하는 모든 Compute Engine 인스턴스에 영향을 미칩니다. 공격을 예방하는 방법은 다음과 같습니다.

Logstash 1.4.2로 업그레이드
1.3.x 버전용 패치 적용
zabbix 및 nagios_nsca 출력을 사용 중지합니다.

자세한 내용은 Logstash 블로그를 참조하세요.

Elasticsearch는 또한 신뢰할 수 없는 IP를 통한 원격 액세스를 차단하기 위해 방화벽을 사용할 것을 권장합니다.

높음

CVE-2014-4326

발행 일자: 2014년 6월 18일

설명	심각도	참고
Google Cloud에서 실행하는 Docker 컨테이너의 보안과 관련하여 고객이 제기할 수 있는 우려사항에 답변하고자 합니다. 여기에는 Docker 컨테이너를 지원하는 App Engine 확장 프로그램, 컨테이너에 최적화된 가상 머신, 오픈소스 Kubernetes 스케줄러를 사용하는 고객이 포함됩니다. Docker에서는 문제에 적극적으로 답변해 왔으며 Docker의 블로그 답변은 여기에서 확인할 수 있습니다. 블로그 답변에 나와 있듯 밝혀진 문제는 사전 프로덕션 버전인 Docker 0.11에만 적용됩니다. 전 세계의 사용자들이 컨테이너 보안에 대해 고민하지만, Linux 애플리케이션 컨테이너(특히 Docker 컨테이너) 기반 솔루션인 Google Cloud은 완벽한 가상 머신(Compute Engine)에서 실행된다는 점을 명심해야 합니다. Google은 Linux 애플리케이션 컨테이너 스택을 강화하려는 Docker 커뮤니티의 노력을 지원하지만, 이 기술은 신기술이며 공격 면적이 넓은 것으로 인식하고 있습니다. 지금은 완전한 하이퍼바이저(가상 머신)가 더 소형화되고 방어가 용이한 공격 면적을 제공한다고 생각합니다. 가상 머신은 처음부터 악성 작업 부하를 격리하고 코드 버그의 발생 가능성과 영향을 최소화하도록 설계되었습니다. 고객은 악성 코드일 수도 있는 제3자와 고객 사이에 완전한 하이퍼바이저 경계가 존재한다는 사실에 대해 안심할 수 있습니다. Google은 Linux 애플리케이션 컨테이너 스택이 다중 테넌트 작업 부하를 지원할 수 있을 만큼 강력해졌다고 판단되면 커뮤니티에 알릴 것입니다. 현재 Linux 애플리케이션 컨테이너는 가상 머신을 대체하지는 못하며 가상 머신을 더 효과적으로 활용하기 위한 수단에 불과합니다.	낮음	Docker 블로그 게시물

설명

심각도

참고

Google Cloud에서 실행하는 Docker 컨테이너의 보안과 관련하여 고객이 제기할 수 있는 우려사항에 답변하고자 합니다. 여기에는 Docker 컨테이너를 지원하는 App Engine 확장 프로그램, 컨테이너에 최적화된 가상 머신, 오픈소스 Kubernetes 스케줄러를 사용하는 고객이 포함됩니다.

Docker에서는 문제에 적극적으로 답변해 왔으며 Docker의 블로그 답변은 여기에서 확인할 수 있습니다. 블로그 답변에 나와 있듯 밝혀진 문제는 사전 프로덕션 버전인 Docker 0.11에만 적용됩니다.

전 세계의 사용자들이 컨테이너 보안에 대해 고민하지만, Linux 애플리케이션 컨테이너(특히 Docker 컨테이너) 기반 솔루션인 Google Cloud은 완벽한 가상 머신(Compute Engine)에서 실행된다는 점을 명심해야 합니다. Google은 Linux 애플리케이션 컨테이너 스택을 강화하려는 Docker 커뮤니티의 노력을 지원하지만, 이 기술은 신기술이며 공격 면적이 넓은 것으로 인식하고 있습니다. 지금은 완전한 하이퍼바이저(가상 머신)가 더 소형화되고 방어가 용이한 공격 면적을 제공한다고 생각합니다. 가상 머신은 처음부터 악성 작업 부하를 격리하고 코드 버그의 발생 가능성과 영향을 최소화하도록 설계되었습니다.

고객은 악성 코드일 수도 있는 제3자와 고객 사이에 완전한 하이퍼바이저 경계가 존재한다는 사실에 대해 안심할 수 있습니다. Google은 Linux 애플리케이션 컨테이너 스택이 다중 테넌트 작업 부하를 지원할 수 있을 만큼 강력해졌다고 판단되면 커뮤니티에 알릴 것입니다. 현재 Linux 애플리케이션 컨테이너는 가상 머신을 대체하지는 못하며 가상 머신을 더 효과적으로 활용하기 위한 수단에 불과합니다.

낮음

Docker 블로그 게시물

발행 일자: 2014년 6월 5일

최종 업데이트: 2014년 6월 9일

설명 심각도 참고

설명	심각도	참고
OpenSSL에는 `ChangeCipherSpec` 메시지가 핸드셰이크 상태 머신에 올바르게 결합되지 않는 문제가 있습니다. 이로 인해 메시지가 조기에 핸드셰이크에 삽입됩니다. 공격자는 정교하게 조작된 핸드셰이크를 사용하여 OpenSSL SSL/TSL 클라이언트 및 서버에서 취약한 키 입력 장치의 사용을 강제할 수 있습니다. 이는 중간자(PITM) 공격을 받은 클라이언트와 서버로부터 오는 트래픽을 공격자가 복호화하고 수정하는 데 악용될 수 있습니다. 이 문제는 CVE-2014-0224로 알려져 있습니다. OpenSSL팀은 이 문제를 해결했으며 OpenSSL 커뮤니티에 OpenSSL을 업데이트하라는 알림을 보냈습니다. Compute Engine에 미치는 영향 이 취약점은 Debian, CentOS, Red Hat Enterprise Linux, SUSE Linux Enterprise Server를 포함하여 OpenSSL을 사용하는 모든 Compute Engine 인스턴스에 영향을 미칩니다. 새 이미지로 인스턴스를 다시 생성하거나 인스턴스에서 패키지를 수동으로 업데이트하여 인스턴스를 업데이트할 수 있습니다. 업데이트(2014년 6월 9일): SUSE Linux Enterprise Server를 실행하는 인스턴스를 새 이미지로 업데이트하려면 다음 버전 이상의 이미지를 사용하여 인스턴스를 다시 생성하세요. `sles-11-sp3-v20140609` 이전 게시물: Debiant 및 CentOS 인스턴스를 새 이미지로 업데이트하려면 다음 버전 이상의 이미지를 사용하여 인스턴스를 다시 생성하세요. `debian-7-wheezy-v20140605` `backports-debian-7-wheezy-v20140605` `centos-6-v20140605` `rhel-6-v20140605` 인스턴스에서 OpenSSL을 수동으로 업데이트하려면 다음 명령어를 실행하여 해당 패키지를 업데이트하세요. CentOS 및 RHEL을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 업데이트할 수 있습니다. user@my-instance:~$ sudo yum -y update user@my-instance:~$ sudo reboot Debian을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 업데이트할 수 있습니다. user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot SUSE Linux Enterprise Server를 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 최신 상태로 유지할 수 있습니다. user@my-instance:~$ sudo zypper --non-interactive up user@my-instance:~$ sudo reboot	보통	CVE-2014-0224

OpenSSL에는 ChangeCipherSpec 메시지가 핸드셰이크 상태 머신에 올바르게 결합되지 않는 문제가 있습니다. 이로 인해 메시지가 조기에 핸드셰이크에 삽입됩니다. 공격자는 정교하게 조작된 핸드셰이크를 사용하여 OpenSSL SSL/TSL 클라이언트 및 서버에서 취약한 키 입력 장치의 사용을 강제할 수 있습니다. 이는 중간자(PITM) 공격을 받은 클라이언트와 서버로부터 오는 트래픽을 공격자가 복호화하고 수정하는 데 악용될 수 있습니다.

이 문제는 CVE-2014-0224로 알려져 있습니다. OpenSSL팀은 이 문제를 해결했으며 OpenSSL 커뮤니티에 OpenSSL을 업데이트하라는 알림을 보냈습니다.

Compute Engine에 미치는 영향

이 취약점은 Debian, CentOS, Red Hat Enterprise Linux, SUSE Linux Enterprise Server를 포함하여 OpenSSL을 사용하는 모든 Compute Engine 인스턴스에 영향을 미칩니다. 새 이미지로 인스턴스를 다시 생성하거나 인스턴스에서 패키지를 수동으로 업데이트하여 인스턴스를 업데이트할 수 있습니다.

업데이트(2014년 6월 9일): SUSE Linux Enterprise Server를 실행하는 인스턴스를 새 이미지로 업데이트하려면 다음 버전 이상의 이미지를 사용하여 인스턴스를 다시 생성하세요.

sles-11-sp3-v20140609

이전 게시물:

Debiant 및 CentOS 인스턴스를 새 이미지로 업데이트하려면 다음 버전 이상의 이미지를 사용하여 인스턴스를 다시 생성하세요.

debian-7-wheezy-v20140605
backports-debian-7-wheezy-v20140605
centos-6-v20140605
rhel-6-v20140605

인스턴스에서 OpenSSL을 수동으로 업데이트하려면 다음 명령어를 실행하여 해당 패키지를 업데이트하세요. CentOS 및 RHEL을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 업데이트할 수 있습니다.

user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Debian을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 업데이트할 수 있습니다.

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

SUSE Linux Enterprise Server를 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 최신 상태로 유지할 수 있습니다.

user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot

보통

CVE-2014-0224

발행 일자: 2014년 4월 8일

설명 심각도 참고

설명	심각도	참고
1.0.1g 이전의 OpenSSL 1.0.1에서 구현된 (1) TLS 및 (2) DTLS는 하트비트 확장 패킷을 제대로 처리하지 못하므로 원격 공격자가 버퍼 오버리드를 유발하는 조작된 패킷을 통해 프로세스 메모리로부터 민감한 정보를 얻을 수 있으며 이는 `d1_both.c` 및 `t1_lib.c`와 관련된 비공개 키를 읽는 것을 통해 입증되었습니다. 이를 Heartbleed 버그라고도 합니다. Compute Engine에 미치는 영향 이 취약점은 최신 OpenSSL 버전을 사용하지 않는 모든 Compute Engine Debian, RHEL, CentOS 인스턴스에 영향을 미칩니다. 새 이미지로 인스턴스를 다시 생성하거나 인스턴스에서 패키지를 수동으로 업데이트하여 인스턴스를 업데이트할 수 있습니다. 새 이미지를 사용하여 인스턴스를 업데이트하려면 다음 버전 이상의 이미지를 사용하여 인스턴스를 다시 만듭니다. `debian-7-wheezy-v20140408` `backports-debian-7-wheezy-v20140408` `centos-6-v20140408` `rhel-6-v20140408` 인스턴스에서 OpenSSL을 수동으로 업데이트하려면 다음 명령어를 실행하여 해당 패키지를 업데이트하세요. CentOS 및 RHEL을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 최신 상태로 유지할 수 있습니다. user@my-instance:~$ sudo yum update user@my-instance:~$ sudo reboot Debian을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 업데이트할 수 있습니다. user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get upgrade user@my-instance:~$ sudo reboot USE Linux를 실행하는 인스턴스는 영향을 받지 않습니다. 2014년 4월 14일에 업데이트됨: Heartbleed 버그를 통해 키를 추출하기 위한 새로운 연구와 관련하여 Compute Engine은 Compute Engine 고객에게 영향을 받는 SSL 서비스에 사용할 새 키를 만들 것을 권장합니다.	보통	CVE-2014-0160

1.0.1g 이전의 OpenSSL 1.0.1에서 구현된 (1) TLS 및 (2) DTLS는 하트비트 확장 패킷을 제대로 처리하지 못하므로 원격 공격자가 버퍼 오버리드를 유발하는 조작된 패킷을 통해 프로세스 메모리로부터 민감한 정보를 얻을 수 있으며 이는 d1_both.c 및 t1_lib.c와 관련된 비공개 키를 읽는 것을 통해 입증되었습니다. 이를 Heartbleed 버그라고도 합니다.

Compute Engine에 미치는 영향

이 취약점은 최신 OpenSSL 버전을 사용하지 않는 모든 Compute Engine Debian, RHEL, CentOS 인스턴스에 영향을 미칩니다. 새 이미지로 인스턴스를 다시 생성하거나 인스턴스에서 패키지를 수동으로 업데이트하여 인스턴스를 업데이트할 수 있습니다.

새 이미지를 사용하여 인스턴스를 업데이트하려면 다음 버전 이상의 이미지를 사용하여 인스턴스를 다시 만듭니다.

debian-7-wheezy-v20140408
backports-debian-7-wheezy-v20140408
centos-6-v20140408
rhel-6-v20140408

인스턴스에서 OpenSSL을 수동으로 업데이트하려면 다음 명령어를 실행하여 해당 패키지를 업데이트하세요. CentOS 및 RHEL을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 최신 상태로 유지할 수 있습니다.

user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Debian을 실행하는 인스턴스의 경우 인스턴스에서 다음 명령어를 실행하여 OpenSSL을 업데이트할 수 있습니다.

user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

USE Linux를 실행하는 인스턴스는 영향을 받지 않습니다.

2014년 4월 14일에 업데이트됨: Heartbleed 버그를 통해 키를 추출하기 위한 새로운 연구와 관련하여 Compute Engine은 Compute Engine 고객에게 영향을 받는 SSL 서비스에 사용할 새 키를 만들 것을 권장합니다.

보통

CVE-2014-0160

발행 일자: 2013년 6월 7일

설명 심각도 참고

설명	심각도	참고
참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다. 3.9.4 이하 버전의 Linux 커널에 있는 Broadcom B43 무선 드라이버의 `drivers/net/wireless/b43/main.c`에 있는 `b43_request_firmware` 함수에 포맷 문자열 취약점이 있어 로컬 사용자가 루트 액세스를 활용하고 `fwpostfix` modprobe 매개변수에 포맷 문자열 지정자를 포함하여 권한을 얻을 수 있습니다. 이로 인해 오류 메시지가 잘못 구성됩니다. Compute Engine에 미치는 영향 이 취약점은 `gcg-3.3.8-201305291443`보다 이전인 모든 Compute Engine 커널에 영향을 줍니다. 이에 대해 Compute Engine은 모든 이전 커널에 대한 지원을 중단하고 사용자에게 Compute Engine 커널 `gce-v20130603`를 사용하도록 인스턴스와 이미지를 업데이트할 것을 권장하고 있습니다. `gce-v20130603`에는 이 취약점의 패치가 있는 커널 `gcg-3.3.8-201305291443`이 포함되어 있습니다. 인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요. SSH를 사용하여 인스턴스에 연결합니다. `uname -r` 실행	보통	CVE-2013-2852

참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다.

3.9.4 이하 버전의 Linux 커널에 있는 Broadcom B43 무선 드라이버의 drivers/net/wireless/b43/main.c에 있는 b43_request_firmware 함수에 포맷 문자열 취약점이 있어 로컬 사용자가 루트 액세스를 활용하고 fwpostfix modprobe 매개변수에 포맷 문자열 지정자를 포함하여 권한을 얻을 수 있습니다. 이로 인해 오류 메시지가 잘못 구성됩니다.

Compute Engine에 미치는 영향

이 취약점은 gcg-3.3.8-201305291443보다 이전인 모든 Compute Engine 커널에 영향을 줍니다. 이에 대해 Compute Engine은 모든 이전 커널에 대한 지원을 중단하고 사용자에게 Compute Engine 커널 gce-v20130603를 사용하도록 인스턴스와 이미지를 업데이트할 것을 권장하고 있습니다. gce-v20130603에는 이 취약점의 패치가 있는 커널 gcg-3.3.8-201305291443이 포함되어 있습니다.

인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요.

SSH를 사용하여 인스턴스에 연결합니다.
uname -r 실행

보통

CVE-2013-2852

발행 일자: 2013년 6월 7일

설명 심각도 참고

설명	심각도	참고
참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다. 3.9.4까지의 Linux 커널 `block/genhd.c`의 register_disk 함수에 형식 문자열 취약점이 있습니다. 로컬 사용자는 이를 통해 루트 액세스를 활용하고 `/sys/module/md_mod/parameters/new_array`에 형식 문자열 지정자를 작성하여, 권한을 얻고 조작된 `/dev/md` 기기 이름을 생성할 수 있습니다. Compute Engine에 미치는 영향 이 취약점은 `gcg-3.3.8-201305291443`보다 이전인 모든 Compute Engine 커널에 영향을 줍니다. 이에 대해 Compute Engine은 모든 이전 커널에 대한 지원을 중단하고 사용자에게 Compute Engine 커널 `gce-v20130603`를 사용하도록 인스턴스와 이미지를 업데이트할 것을 권장하고 있습니다. `gce-v20130603`에는 이 취약점의 패치가 있는 커널 `gcg-3.3.8-201305291443`이 포함되어 있습니다. 인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요. SSH를 사용하여 인스턴스에 연결합니다. `uname -r` 실행	보통	CVE-2013-2851

참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다.

3.9.4까지의 Linux 커널 block/genhd.c의 register_disk 함수에 형식 문자열 취약점이 있습니다. 로컬 사용자는 이를 통해 루트 액세스를 활용하고 /sys/module/md_mod/parameters/new_array에 형식 문자열 지정자를 작성하여, 권한을 얻고 조작된 /dev/md 기기 이름을 생성할 수 있습니다.

Compute Engine에 미치는 영향

인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요.

SSH를 사용하여 인스턴스에 연결합니다.
uname -r 실행

보통

CVE-2013-2851

발행 일자: 2013년 5월 14일

설명 심각도 참고

설명	심각도	참고
참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다. 3.8.9 이전 버전의 Linux 커널에서 `kernel/events/core.c`의 perf_swevent_init 함수는 잘못된 `integer` 데이터 형식을 사용합니다. 이를 활용하여 로컬 사용자는 조작된 `perf_event_open` 시스템 호출을 통해 권한을 얻을 수 있습니다. Compute Engine에 미치는 영향 이 취약점은 `gcg-3.3.8-201305211623`보다 이전인 모든 Compute Engine 커널에 영향을 줍니다. 이에 대해 Compute Engine은 모든 이전 커널에 대한 지원을 중단하고 사용자에게 Compute Engine 커널 `gce-v20130521`를 사용하도록 인스턴스와 이미지를 업데이트할 것을 권장하고 있습니다. `gce-v20130521`에는 이 취약점의 패치가 있는 커널 `gcg-3.3.8-201305211623`이 포함되어 있습니다. 인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요. SSH를 사용하여 인스턴스에 연결합니다. `uname -r` 실행	높음	CVE-2013-2094

참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다.

3.8.9 이전 버전의 Linux 커널에서 kernel/events/core.c의 perf_swevent_init 함수는 잘못된 integer 데이터 형식을 사용합니다. 이를 활용하여 로컬 사용자는 조작된 perf_event_open 시스템 호출을 통해 권한을 얻을 수 있습니다.

Compute Engine에 미치는 영향

이 취약점은 gcg-3.3.8-201305211623보다 이전인 모든 Compute Engine 커널에 영향을 줍니다. 이에 대해 Compute Engine은 모든 이전 커널에 대한 지원을 중단하고 사용자에게 Compute Engine 커널 gce-v20130521를 사용하도록 인스턴스와 이미지를 업데이트할 것을 권장하고 있습니다. gce-v20130521에는 이 취약점의 패치가 있는 커널 gcg-3.3.8-201305211623이 포함되어 있습니다.

인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요.

SSH를 사용하여 인스턴스에 연결합니다.
uname -r 실행

높음

CVE-2013-2094

발행 일자: 2013년 2월 18일

설명 심각도 참고

설명	심각도	참고
참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다. 3.7.5 버전보다 이전인 Linux 커널의 ptrace 함수에 있는 경합 상태로 인해 로컬 사용자는 조작된 애플리케이션에서 `PTRACE_SETREGS ptrace` 시스템 호출을 사용하여 권한을 얻을 수 있습니다. Compute Engine에 미치는 영향 이 취약점은 Compute Engine 커널 `2.6.x-gcg-<date>`에 영향을 미칩니다. 이에 따라 Compute Engine에서는 2.6.x 커널을 지원 중단하고 사용자가 Compute Engine 커널 `gce-v20130225`를 사용하도록 인스턴스와 이미지를 업데이트할 것을 권장합니다. `gce-v20130225`에는 이 취약점의 패치가 있는 커널 `3.3.8-gcg-201302081521`가 포함되어 있습니다. 인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요. SSH를 사용하여 인스턴스에 연결합니다. `uname -r` 실행	보통	CVE-2013-0871

참고: 이 취약점은 API 버전 v1부터 지원이 중단되고 삭제된 커널에만 적용됩니다.

3.7.5 버전보다 이전인 Linux 커널의 ptrace 함수에 있는 경합 상태로 인해 로컬 사용자는 조작된 애플리케이션에서 PTRACE_SETREGS ptrace 시스템 호출을 사용하여 권한을 얻을 수 있습니다.

Compute Engine에 미치는 영향

이 취약점은 Compute Engine 커널 2.6.x-gcg-<date>에 영향을 미칩니다. 이에 따라 Compute Engine에서는 2.6.x 커널을 지원 중단하고 사용자가 Compute Engine 커널 gce-v20130225를 사용하도록 인스턴스와 이미지를 업데이트할 것을 권장합니다. gce-v20130225에는 이 취약점의 패치가 있는 커널 3.3.8-gcg-201302081521가 포함되어 있습니다.

인스턴스에서 사용 중인 커널 버전을 확인하려면 다음 안내를 따르세요.

SSH를 사용하여 인스턴스에 연결합니다.
uname -r 실행

보통

CVE-2013-0871