Güvenlik Bültenleri

Zaman zaman Google Compute Engine ile ilgili güvenlik bültenleri yayınlanabilir. Google Compute Engine ile ilgili tüm güvenlik bültenleri burada yer almaktadır.

Compute Engine güvenlik bültenlerine abone olun. Abone ol

Açıklama Önem Düzeyi Notlar
Yayınlanma tarihi: 14.08.2018; son güncelleme: 20.08.2018 17:00 PST

Açıklama

Aşağıdaki CVE'ler Intel tarafından açıklanmıştır:

Bu CVE'lerin tamamına "L1 Terminal Fault (L1TF)" adı verilir.

Bu L1TF güvenlik açıkları, işlemci düzeyinde veri yapılarının yapılandırmasına saldırarak kurgusal yürütmeyi kötüye kullanır. "L1", bellek erişimini hızlandırmak için kullanılan küçük bir çekirdek içi kaynak olan 1. Düzey Veri önbelleğini (L1D) temsil eder.

Bu güvenlik açıkları ve Compute Engine'in çözümleri ile ilgili daha fazla ayrıntı için Google Cloud blog yayınını okuyun.

Google Compute Engine'e etkisi

Compute Engine'i çalıştıran ve müşteri iş yüklerini birbirinden ayıran ana makine altyapısı, bilinen saldırılara karşı korunur.

Compute Engine müşterileri, konuk ortamı içinde dolaylı kötüye kullanım olasılığını ortadan kaldırmak için görüntülerini güncellemeye teşvik edilir. Bu özellikle kendi çok kiracılı hizmetlerini Compute Engine sanal makinelerinde çalıştıran müşteriler için önemlidir.

Google Compute Engine müşterileri, örnekleri üzerindeki konuk işletim sistemlerini aşağıdaki seçeneklerden birini kullanarak güncelleyebilir:

Yama uygulanmış görüntüler ve tedarikçi kaynakları

Kullanılabilir olduğunda, her iki CVE için durum da dahil, her bir işletim sistemi tedarikçisinden gelen yama bilgileri için bağlantılar sağlayacağız. Sanal makine örneklerini yeniden oluşturmak için bu görüntüleri kullanın. Bu genel görüntülerin erken sürümleri bu yamaları içermez ve potansiyel saldırıları hafifletmez.

  • centos-cloud projesi:
    • centos-7-v20180815
    • centos-6-v20180815
  • coreos-cloud projesi:
    • coreos-stable-1800-7-0-v20180816
    • coreos-beta-1855-2-0-v20180816
    • coreos-alpha-1871-0-0-v20180816
  • cos-cloud projesi:
    • cos-stable-66-10452-110-0
    • cos-stable-67-10575-66-0
    • cos-beta-68-10718-81-0
    • cos-dev-69-10895-23-0
  • debian-cloud projesi:
    • debian-9-stretch-v20180820
  • rhel-cloud projesi:
    • rhel-7-v20180814
    • rhel-6-v20180814
  • rhel-sap-cloud projesi:
    • rhel-7-sap-apps-v20180814
    • rhel-7-sap-hana-v20180814
  • suse-cloud projesi:
    • sles-15-v20180816
    • sles-12-sp3-v20180814
    • sles-11-sp4-v20180816
  • suse-sap-cloud projesi:
    • sles-15-sap-v20180816
    • sles-12-sp3-sap-v20180814
    • sles-12-sp2-sap-v20180816
  • ubuntu-os-cloud projesi:
    • ubuntu-1804-bionic-v20180814
    • ubuntu-1604-xenial-v20180814
    • ubuntu-1404-trusty-v20180814
    • ubuntu-minimal-1804-bionic-v20180814
    • ubuntu-minimal-1604-xenial-v20180814
  • windows-cloud gce-uefi-images ve windows-sql-cloud projeleri:
    • Sürüm numarası -v201800814 ve üzeri olan Windows Server ve SQL Server genel görüntüleri yamalar içerir.
Yüksek
Yayınlanma tarihi: 06.08.2018; son güncelleme: 05.09.2018 17:00 PST

05.09.2018 Tarihli Güncelleme

CVE-2018-5391, 14.08.2018 tarihinde US-CERT tarafından yayınlanmıştır. CVE-2018-5390 gibi bu da savunmasız sistemlerde hizmet reddi (DoS) saldırılarının etkisini artıran çekirdek düzeyinde bir ağ iletişimi güvenlik açığıdır. Aralarındaki temel fark, CVE-2018-5391 açığının IP bağlantıları üzerinde kötüye kullanılma riski olmasıdır. Bu bülteni, bu güvenlik açıklarının her ikisini de kapsayacak şekilde güncelledik.

Açıklama

CVE-2018-5390 ("SegmentSmack"), TCP bağlantıları üzerindeki savunmasız sistemlerde hizmet reddi (DoS) saldırılarının etkisini artıran çekirdek düzeyinde bir ağ iletişimi güvenlik açığını tanımlar.

CVE-2018-5391 ("FragmentSmack"), IP bağlantıları üzerindeki savunmasız sistemlerde hizmet reddi (DoS) saldırılarının etkisini artıran çekirdek düzeyinde bir ağ iletişimi güvenlik açığını tanımlar.

Google Compute Engine'e etkisi

Compute Engine sanal makinelerini çalıştıran ana makine altyapısı risk altında değildir. Compute Engine sanal makineleri giriş ve çıkış trafiğini yöneten ağ altyapısı, bu güvenlik açığına karşı korumalıdır. Yalnızca HTTP(S), SSL veya TCP Yük Dengeleyicileri üzerinden güvenilmeyen ağ trafiği alan/gönderen Compute Engine sanal makineleri bu güvenlik açığına karşı korumalıdır.

Güvenilmeyen ağ trafiğini doğrudan veya Ağ Yük Dengeleyicileri üzerinden alan/gönderen yama uygulanmamış işletim sistemleri çalıştıran Compute Engine sanal makineleri bu DoS saldırısına karşı savunmasızdır.

İşletim sistemleri için yamalar kullanılabilir olur olmaz sanal makine örneklerinizi güncellemenizi öneririz.

Google Compute Engine müşterileri, örnekleri üzerindeki konuk işletim sistemlerini aşağıdaki seçeneklerden birini kullanarak güncelleyebilir:

  • Mevcut sanal makine örneklerini yeniden oluşturmak için yama uygulanmış genel görüntüler kullanma. Aşağıdan, yama uygulanmış genel görüntüler listesine bakın.
  • Mevcut örnekler üzerinde, işletim sistemi tedarikçisi tarafından sağlanan yamalar uygulama ve yama uygulanmış örnekleri yeniden başlatma.

Yama uygulanmış görüntüler ve tedarikçi kaynakları

Kullanılabilir olduğunda, her bir işletim sistemi tedarikçisinden gelen yama bilgileri için bağlantılar sağlayacağız.

  • centos-cloud projesi (yalnızca CVE-2018-5390):
    • centos-7-v20180815
    • centos-6-v20180815
  • coreos-cloud projesi (CVE-2018-5390 ve CVE-2018-5391):
    • coreos-stable-1800-7-0-v20180816
    • coreos-beta-1855-2-0-v20180816
    • coreos-alpha-1871-0-0-v20180816
  • cos-cloud projesi (CVE-2018-5390 ve CVE-2018-5391):
    • cos-stable-65-10323-98-0
    • cos-stable-66-10452-109-0
    • cos-stable-67-10575-65-0
    • cos-beta-68-10718-76-0
    • cos-dev-69-10895-16-0
  • debian-cloud projesi (CVE-2018-5390 ve CVE-2018-5391):
    • debian-9-stretch-v20180814
  • rhel-cloud projesi (yalnızca CVE-2018-5390):
    • rhel-7-v20180814
    • rhel-6-v20180814
  • suse-cloud projesi (CVE-2018-5390 ve CVE-2018-5391):
    • sles-15-v20180816
    • sles-12-sp3-v20180814
  • suse-sap-cloud projesi (CVE-2018-5390 ve CVE-2018-5391):
    • sles-15-sap-v20180816
    • sles-12-sp3-sap-v20180814
    • sles-12-sp2-sap-v20180816
  • ubuntu-os-cloud projesi (CVE-2018-5390 ve CVE-2018-5391):
    • ubuntu-1804-bionic-v20180814
    • ubuntu-1604-xenial-v20180814
    • ubuntu-1404-trusty-v20180814
    • ubuntu-minimal-1804-bionic-v20180814
    • ubuntu-minimal-1604-xenial-v20180814
Yüksek
Yayınlanma tarihi: 03.01.2018; son güncelleme: 21.05.2018 15:00 PST

21.05.2018 Güncellemesi

CVE-2018-3640 ve CVE-2018-3639 yani sırasıyla Varyant 3a ve Varyant 4, Intel tarafından açıklanmıştır. Spectre ve Meltdown'ın ilk üç varyantında, Compute Engine sanal makine örneklerini çalıştıran altyapı korunmaktadır ve müşteri sanal makine örnekleri izoledir ve birbirinden korunur. Ek olarak Compute Engine, Intel'in mikrokod yamalarını altyapımıza dağıtmayı planlamaktadır. Bu sayede, tek bir sanal makine örneği içinde güvenilmeyen veya çok kiracılı iş yükleri çalıştıran müşteriler, işletim sistemi tedarikçileri ve sağlayıcıları tarafından sunulduğunda sanal makineler arası ek hafifletmeleri etkinleştirebilecektir. Compute Engine, mikrokod yamaları Intel tarafından onaylandıktan ve üretim ortamımız için yamaları test edip onayladıktan sonra yamaları dağıtacaktır. Kullanıma sunulduğunda bu sayfada daha ayrıntılı zaman çizelgeleri ve güncellemeler sunacağız.

Açıklama

Bu CVE'ler, birçok işlemcide mevcut olan kurgusal yürütme teknolojisini kötüye kullanan yeni bir tür saldırı sınıfı varyantlarıdır. Bu saldırı sınıfı, çeşitli koşullar altında bellek verilerine yetkisiz salt okuma erişimi sağlayabilir.

Google Compute Engine, kullanıcılara etkisi olmadan, zorunlu bakım dönemleri olmadan ve toplu yeniden başlatma gerekmeden ana makine sistemi ve hipervizör güncellemeleri yürütmek için Sanal Makine Canlı Geçiş teknolojisini kullanmıştır. Ancak tüm konuk işletim sistemleri ve sürümlerine, bu sistemlerin nerede çalıştığından bağımsız şekilde bu yeni saldırı sınıfına karşı yama uygulanmalıdır.

Bu saldırı yöntemi ile ilgili tüm teknik ayrıntılar için Project Zero blog yayınını okuyun. Tüm ürüne özel bilgiler dahil olmak üzere Google'ın hafifletmelerine dair tüm ayrıntılar için Google Güvenlik blogu yayınını okuyun.

Google Compute Engine'e etkisi

Compute Engine'i çalıştıran ve müşteri sanal makine örneklerini birbirinden ayıran altyapı, bilinen saldırılara karşı korunur. Hafifletmelerimiz, ana makine sistemlerimize sanal makine örnekleri içinde çalışan uygulamalardan yetkisiz erişimi önlemektedir. Bu hafifletmeler, aynı ana makine sistemi üzerinde çalışan sanal makine örnekleri arasındaki yetkisiz erişimi de önler.

Sanal makine örnekleriniz içinde yetkisiz erişimi önlemek için bu örnekler üzerindeki konuk işletim sistemlerini aşağıdaki seçeneklerden birini kullanarak güncellemeniz gerekir:

  • Mevcut sanal makine örneklerinizi yeniden oluşturmak için yama uygulanmış genel görüntüler kullanma. Aşağıdan, yama uygulanmış genel görüntüler listesine bakın.
  • Mevcut örnekleriniz üzerinde, dağıtımınız için işletim sistemi tedarikçisi tarafından sağlanan yamalar uygulama ve yama uygulanmış örnekleri yeniden başlatma. Her bir işletim sistemi tedarikçisinden gelen yama bilgileri için bağlantıları aşağıda görebilirsiniz.

Yama uygulanmış görüntüler ve tedarikçi kaynakları

Not: Yama uygulanan görüntüler, bu güvenlik bülteninde listelenen tüm CVE'ler için çözümler içermeyebilir. Ayrıca, farklı görüntüler bu tür saldırıları önlemek için farklı yöntemler içerebilir. İşletim sistemi tedarikçinizle görüşerek yamalarında ele aldıkları CVE'leri ve kullandıkları önleme yöntemlerini doğrulayın.

  • cos-cloud projesi: Varyant 2 (CVE-2017-5715) ve Varyant 3 (CVE-2017-5754) saldırılarını önleyen yamalar içerir. Google, Varyant 2 saldırılarını hafifletmek için bu görüntülerde Retpoline kullandı.
    • cos-stable-63-10032-71-0 veya görüntü ailesi cos-stable
  • centos-cloud projesi: CentOS yama bilgileri
    • centos-7-v20180104 veya görüntü ailesi centos-7
    • centos-6-v20180104 veya görüntü ailesi centos-6
  • coreos-cloud projesi: CoreOS yama bilgileri
    • coreos-stable-1576-5-0-v20180105 veya görüntü ailesi coreos-stable
    • coreos-beta-1632-1-0-v20180105 veya görüntü ailesi coreos-beta
    • coreos-alpha-1649-0-0-v20180105 veya görüntü ailesi coreos-alpha
  • debian-cloud projesi: Debian yama bilgileri
    • debian-9-stretch-v20180105 veya görüntü ailesi debian-9
    • debian-8-jessie-v20180109 veya görüntü ailesi debian-8
  • rhel-cloud projesi: RHEL yama bilgileri
    • rhel-7-v20180104 veya görüntü ailesi rhel-7
    • rhel-6-v20180104 veya görüntü ailesi rhel-6
  • suse-cloud projesi: SUSE yama bilgileri
    • sles-12-sp3-v20180104 veya görüntü ailesi sles-12
    • sles-11-sp4-v20180104 veya görüntü ailesi sles-11
  • suse-sap-cloud projesi: SUSE yama bilgileri
    • sles-12-sp3-sap-v20180104 veya görüntü ailesi sles-12-sp3-sap
    • sles-12-sp2-sap-v20180104 veya görüntü ailesi sles-12-sp2-sap
  • ubuntu-os-cloud projesi: Ubuntu yama bilgileri
    • ubuntu-1710-artful-v20180109 veya görüntü ailesi ubuntu-1710
    • ubuntu-1604-xenial-v20180109 veya görüntü ailesi ubuntu-1604-lts
    • ubuntu-1404-trusty-v20180110 veya görüntü ailesi ubuntu-1404-lts
  • windows-cloud ve windows-sql-cloud projeleri:
    • Sürüm numarası -v20180109 ve üzeri olan tüm Windows Server ve SQL Server genel görüntüleri yamalar içerir. Ancak hem mevcut örneklerinizde hem de yeni oluşturulan örneklerde bu hafifletmeleri etkinleştirmek ve doğrulamak için Microsoft tarafından Windows Server destek bülteni ile sağlanan önerilen işlemleri izlemeniz gerekir.

Sanal makine örneklerinizi yeniden oluşturmak için bu görüntüleri kullanın. Bu genel görüntülerin erken sürümleri bu yamaları içermez ve potansiyel saldırıları hafifletmez.

Donanım tedarikçilerinin yamaları

NVIDIA, NVIDIA® sürücü yazılımı yüklü olan sistemlere karşı potansiyel saldırıları hafifletmek için yama uygulanmış sürücüler sağlamaktadır. Hangi sürücü versiyonlarına yama uygulandığını öğrenmek için NVIDIA GPU Görüntü Birimi Sürücüsü Güvenlik Güncellemeleri güvenlik bültenini okuyun.

Düzeltme geçmişi:

  • 21.05.2018, 14:00 PST: 21 Mayıs 2018'de açıklanan iki yeni varyant ile ilgili bilgi eklendi.
  • 10.01.2018, 15:00 PST: Yama uygulanmış Windows Server ve SQL Server genel görüntüleri ile ilgili bilgi eklendi.
  • 10.01.2018, 10:15 PST: Yama uygulanmış genel görüntüler listesine bazı Ubuntu görüntüleri eklendi.
  • 10.01.2018, 09:50 PST: Donanım tedarikçilerine ait yamalar için talimatlar eklendi.
  • 03.01.2018-09.01.2018: Yama uygulanmış genel görüntüler listesinde bazı düzeltmeler yapıldı.
Yüksek
Yayınlanma tarihi: 02.10.2017

Açıklama

Dnsmasq; DNS, DHCP, yönlendirici reklamları ve ağ önyüklemesi sunma işlevine sahiptir. Bu yazılım, genellikle masaüstü Linux dağıtımları (ör. Ubuntu), evde kullanılan yönlendiriciler ve IoT cihazları gibi çeşitli sistemlerde kuruludur. Dnsmasq hem açık internette hem de özel ağlarda dahili olarak yaygın biçimde kullanılmaktadır.

Düzenli dahili güvenlik değerlendirmeleri sırasında Google, yedi farklı sorun keşfetmiştir. Sorunların ciddiyetini belirlemenin ardından, etkileri ve kötüye kullanım potansiyelini saptamak amacıyla çalışmalar yürütülmüştür. Ardından, şirket dahilinde bu sorunların her birinden kaynaklanabilecek sonuçlar gösterilmiştir. Dnsmasq'ın geliştiricisi Simon Kelly ile uygun yamalar üretmek ve sorundan doğacak zararları hafifletmek için bazı çalışmalar da yapılmıştır.

İnceleme sırasında ekip, 5 Eylül 2017 itibarıyla projenin git sunucusunun son sürümünü etkileyen üç adet potansiyel uzaktan kod yürütme, bir bilgi sızıntısı ve üç hizmet reddi güvenlik açığı saptamıştır.

Bu yamalar yukarı akışlı olup projenin Git kod deposuna bağlıdır.

Google Compute Engine'e etkisi

Varsayılan olarak Dnsmasq, yalnızca NetworkManager kullanan ve etkin olmayan (varsayılan olarak) görüntülere yüklenir. Aşağıdaki herkese açık Compute Engine görüntülerine Dnsmasq yüklüdür:

  • Ubuntu 16.04, 16.10, 17.04
  • CentOS 7
  • RHEL 7

Ancak diğer görüntülerde, diğer paketlere bağımlılık özelliğiyle Dnsmasq yüklenmiş olabilir. En yeni işletim sistemi görüntüsünü kullanmak için Debian, Ubuntu, CentOS, RHEL, SLES ve OpenSuse örneklerini güncellemenizi öneririz. CoreOS ve Container İçin Optimize Edilmiş İşletim Sistemi, durumdan etkilenmemektedir. Windows görüntüleri de durumdan etkilenmemektedir.

Debian ve Ubuntu'yu çalıştıran örnekler için, örneğinizde aşağıdaki komutları çalıştırarak güncelleme yapabilirsiniz:


sudo apt-get -y update

sudo apt-get -y dist-upgrade

Red Hat Enterprise Linux ve CentOS örneklerinde şu kodu çalıştırın:


sudo yum -y upgrade

SLES ve OpenSUSE görüntülerinde aşağıdaki komutu çalıştırın:


sudo zypper up

Manuel güncelleme komutlarının çalıştırılmasına alternatif olarak, ilgili işletim sisteminin görüntü ailelerini kullanarak sanal makine örneklerini yeniden oluşturabilirsiniz.

Yüksek
Yayınlanma tarihi: 26.10.2016

Açıklama

CVE-2016-5195; Linux çekirdeğinin bellek alt sistemi tarafından, yazma erişimi üzerindeki salt okunur özel eşleme COW durumunun kesilmesi şeklindeki yarış durumunu temsil eder.

Ayrıcalığı olmayan yerel kullanıcılar, bu açığı normalde salt okunur olan bellek eşlemelerine yazma erişimi elde etmek ve bu sayede sistem üzerindeki ayrıcalıklarını artırmak için kullanabilir.

Daha fazla bilgi edinmek için Dirty COW Hakkında SSS bölümünü inceleyin.

Google Compute Engine'e etkisi

Compute Engine'deki tüm Linux dağıtımları ve sürümleri, bu sorundan etkilenir. Örneklerin çoğu, yeni çekirdeği otomatik olarak indirir ve yükler. Ancak çalışan sisteminize yama uygulamak için sistemi yeniden başlatmanız gerekir.

Aşağıdaki Google Compute Engine görüntülerini temel alan yeni veya yeniden oluşturulan örneklerde zaten yama uygulanmış çekirdekler bulunmaktadır.

  • centos-6-v20161026
  • centos-7-v20161025
  • coreos-alpha-1192-2-0-v20161021
  • coreos-beta-1185-2-0-v20161021
  • coreos-stable-1122-3-0-v20161021
  • debian-8-jessie-v20161020
  • rhel-6-v20161026
  • rhel-7-v20161024
  • sles-11-sp4-v20161021
  • sles-12-sp1-v20161021
  • ubuntu-1204-precise-v20161020
  • ubuntu-1404-trusty-v20161020
  • ubuntu-1604-xenial-v20161020
  • ubuntu-1610-yakkety-v20161020
Yüksek CVE-2016-5195
Yayınlanma tarihi: 16.02.2016; son güncellenme tarihi: 22.02.2016

Açıklama

CVE-2015-7547; glibc DNS istemci tarafı çözümleyicisinin, getaddrinfo() kitaplık işlevini kullanırken yazılımı yığın tabanlı arabellek taşmasına karşı savunmasız hale getirdiği bir güvenlik açığıdır. Saldırganlar; bu güvenlik açığını istismar etmek amacıyla saldırgan denetimindeki alan adları, saldırgan tarafından denetlenen DNS sunucuları veya bağlantıyı izinsiz izleme saldırısıyla bu işlevi kullanarak yazılımdan faydalanabilir.

Daha fazla bilgi edinmek için Google Dijital Güvenlik Blogu veya Common Vulnerabilities and Exposures (CVE) veritabanını inceleyin.

Google Compute Engine'e etkisi

Güncelleme (22.02.2016):

Artık aşağıdaki CoreOS, SLES ve OpenSUSE görüntülerini kullanarak örneklerinizi yeniden oluşturabilirsiniz:

  • coreos-alpha-962-0-0-v20160218
  • coreos-beta-899-7-0-v20160218
  • coreos-stable-835-13-0-v20160218
  • opensuse-13-2-v20160222
  • opensuse-leap-42-1-v20160222
  • sles-11-sp4-v20160222
  • sles-12-sp1-v20160222

Güncelleme (17.02.2016):

Artık aşağıdaki komutları çalıştırarak Ubuntu 12.04 LTS, Ubuntu 14.04 LTS ve Ubuntu 15.10 örneklerinde güncelleme yapabilirsiniz:

  1. user@my-instance:~$ sudo apt-get -y update
  2. user@my-instance:~$ sudo apt-get -y dist-upgrade
  3. user@my-instance:~$ sudo reboot

Manuel güncelleme komutlarını çalıştırmaya alternatif olarak, artık örnekleri aşağıdaki yeni görüntülerle yeniden oluşturabilirsiniz:

  • backports-debian-7-wheezy-v20160216
  • centos-6-v20160216
  • centos-7-v20160216
  • debian-7-wheezy-v20160216
  • debian-8-jessie-v20160216
  • rhel-6-v20160216
  • rhel-7-v20160216
  • ubuntu-1204-precise-v20160217a
  • ubuntu-1404-trusty-v20160217a
  • ubuntu-1510-wily-v20160217

Bilgimiz dahilinde, varsayılan glibc yapılandırmasıyla Compute Engine'in DNS çözümleyicilerini kullanarak bu güvenlik açığını kötüye kullanabilecek herhangi bir yöntem bulunmamaktadır. Ancak zaman içinde, tüm yeni güvenlik açıkları için yeni istismar yöntemleri keşfedilebilir. Bu nedenle yamaları sanal makine örneklerine olabildiğince çabuk uygulamanız gerekir. edns0'ı etkinleştirdiyseniz (varsayılan olarak devre dışıdır) örneklerinize yama uygulanana kadar devre dışı bırakmanız gerekir.

Orijinal bülten:

Linux dağıtımınızda güvenlik açığı olabilir. Linux OS çalıştıran Compute Engine müşterilerinin, bu güvenlik açığından etkilenmemek için örneklerinin işletim sistemi görüntülerini güncellemesi gerekir.

Debian'ı çalıştıran örneklerde, güncellemeyi örneğinizde aşağıdaki komutları çalıştırarak yapabilirsiniz:

  1. user@my-instance:~$ sudo apt-get -y update
  2. user@my-instance:~$ sudo apt-get -y dist-upgrade
  3. user@my-instance:~$ sudo reboot

Ayrıca Debian örnekleriniz için UnattendedUpgrades'i yüklemenizi öneririz.

Red Hat Enterprise Linux örnekleri için:

  • user@my-instance:~$ sudo yum -y upgrade
  • user@my-instance:~$ sudo reboot

Bu bülten, diğer işletim sistemi geliştiricileri bu güvenlik açığı için yamalar yayınlandığı ve Compute Engine güncellenmiş işletim sistemi görüntülerini kullanıma sunduğu sürece güncellenmeye devam edecektir.

Yüksek CVE-2015-7547
Yayınlanma tarihi: 19.03.2015

Açıklama

CVE-2015-1427; Elasticsearch'ün 1.3.8'den önceki sürümlerinde ve 1.4.3'ten önceki herhangi bir 1.4.x sürümünde Groovy komut dosyası motorunun, uzaktaki saldırganların korumalı alan mekanizmasını aşarak rastgele kabuk komutları yürütebildiği bir güvenlik açığıdır.

Daha fazla bilgi için National Vulnerability Database (NVD) veya Common Vulnerabilities and Exposures (CVE) veritabanını inceleyin.

Google Compute Engine'e etkisi

Compute Engine örneklerinde Elasticsearch kullanıyorsanız Elasticsearch'ü 1.4.3 veya daha yeni bir sürüme yükseltmeniz gerekir. Elasticsearch yazılımınızın sürümünü zaten yükselttiyseniz bu güvenlik açığından korunmaktasınız.

Elasticsearch'ü 1.4.3 veya daha yeni bir sürüme yükseltmediyseniz sıralı yükseltme yapabilirsiniz.

Elasticsearch'ü Google Cloud Platform Console'da Click-to-deploy işlemini kullanarak dağıttıysanız Elasticsearch'ü çalıştıran örnekleri kaldırmak için dağıtımı silebilirsiniz.

Google Cloud Platform ekibi, Elasticsearch'ün güncellenmiş sürümünün dağıtılabilmesini sağlayacak bir düzeltme üzerinde çalışmaktadır. Ancak düzeltme, GCP Console'daki Click-to-deploy özelliğinde henüz kullanılamamaktadır.

Yüksek CVE-2015-1427
Yayınlanma tarihi: 29.01.2015

Açıklama

CVE-2015-0235 (Hayalet), glibc kitaplığındaki bir güvenlik açığıdır.

App Engine, Cloud Storage, BigQuery ve CloudSQL müşterilerinin herhangi bir işlem yapması gerekmez. Google sunucuları güncellenmiştir ve bu güvenlik açığına karşı korunmaktadır.

Compute Engine müşterilerinin işletim sistemi görüntülerini güncellemesi gerekebilir.

Google Compute Engine'e etkisi

Linux dağıtımınızda güvenlik açığı olabilir. Debian 7, Debian 7 backport'ları, Ubuntu 12.04 LTS, Red Hat Enterprise Linux, CentOS veya SUSE Linux Enterprise Server 11 SP3 çalıştıran Compute Engine müşterilerinin, bu güvenlik açığından etkilenmemek için örneklerinin işletim sistemi görüntülerini güncellemesi gerekir.

Bu güvenlik açığı Ubuntu 14.04 LTS, Ubuntu 14.10 veya SUSE Linux Enterprise Server 12'yi etkilemez.

Linux dağıtımlarınızı yükseltmenizi öneririz. Debian 7, Debian 7 backport'ları veya Ubuntu 12.04 LTS'yi çalıştıran örneklerde aşağıdaki komutları kullanarak güncelleme yapabilirsiniz:

  1. user@my-instance:~$ sudo apt-get update
  2. user@my-instance:~$ sudo apt-get -y upgrade
  3. user@my-instance:~$ sudo reboot

Red Hat Enterprise Linux veya CentOS örnekleri için:

  1. user@my-instance:~$ sudo yum -y upgrade
  2. user@my-instance:~$ sudo reboot

SUSE Linux Enterprise Server 11 SP3 örnekleri için:

  1. user@my-instance:~$ sudo zypper --non-interactive up
  2. user@my-instance:~$ sudo reboot

Yukarıda belirtilen manuel güncelleme komutlarını çalıştırmaya alternatif olarak, kullanıcılar artık örnekleri aşağıdaki yeni görüntülerle yeniden oluşturabilir:

  • debian-7-wheezy-v20150127
  • backports-debian-7-wheezy-v20150127
  • centos-6-v20150127
  • centos-7-v20150127
  • rhel-6-v20150127
  • rhel-7-v20150127
  • sles-11-sp3-v20150127
  • ubuntu-1204-precise-v20150127

Google Tarafından Yönetilen Sanal Makinelere etkisi

gcloud preview app deploy kullanan, yönetilen sanal makine kullanıcılarının; temel docker container'larını, gcloud preview app setup-managed-vms ile güncellemesi ve çalışan uygulamalarından her birini, gcloud preview app deploy ile yeniden dağıtması gerekir. appcfg ile dağıtım yapan kullanıcıların herhangi bir işlem yapması gerekmez ve bu kullanıcılar, otomatik olarak yeni sürüme geçirilir.

Yüksek CVE-2015-0235
Yayınlanma tarihi: 15.10.2014, güncelleme: 17.10.2014

Açıklama

CVE-2014-3566 (diğer adıyla POODLE), SSL 3.0 sürümü tasarımındaki bir güvenlik açığıdır. Bu güvenlik açığı, ağ saldırganlarının güvenli bağlantılardaki düz metinleri hesaplayabilmesini sağlar. Ayrıntılı bilgi için güvenlik açıkları hakkında yayınlanan blog yayınlarımızı inceleyin.

App Engine, Cloud Storage, BigQuery ve CloudSQL müşterilerinin herhangi bir işlem yapması gerekmez. Google sunucuları güncellenmiştir ve bu güvenlik açığına karşı korunmaktadır. Compute Engine müşterilerinin, işletim sistemi görüntülerini güncellemesi gerekir.

Google Compute Engine'e etkisi

Güncelleme (17.10.2014):

SSLv3 kullanıyorsanız güvenlik açığından etkilenebilirsiniz. Compute Engine müşterilerinin, bu güvenlik açığından etkilenmemek için örneklerinin işletim sistemi görüntülerini güncellemesi gerekir.

Linux dağıtımlarınızı yükseltmenizi öneririz. Debian'ı çalıştıran örneklerinizde aşağıdaki komutları kullanarak güncelleme yapabilirsiniz:


user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

CentOS örnekleri için:


user@my-instance:~$ sudo yum -y upgrade
user@my-instance:~$ sudo reboot

Yukarıda belirtilen manuel güncelleme komutlarını çalıştırmaya alternatif olarak, kullanıcılar artık örnekleri aşağıdaki yeni görüntülerle yeniden oluşturabilir:

  • centos-6-v20141016
  • centos-7-v20141016
  • debian-7-wheezy-v20141017
  • backports-debian-7-wheezy-v20141017

Görüntüler elde edildikten sonra RHEL ve SLES görüntüleriyle ilgili bültenler güncellenecektir. Bu sırada RHEL kullanıcıları, daha fazla bilgi için doğrudan Red Hat'e danışabilir.

Orijinal bülten:

Compute Engine müşterilerinin, bu güvenlik açığından etkilenmemek için örneklerinin işletim sistemi görüntülerini güncellemesi gerekir. Yeni işletim sistemi görüntüleri elde edildikten sonra bu güvenlik bülteni, talimatlarla güncellenecektir.

Orta CVE-2014-3566
Yayınlanma tarihi: 24.09.2014, son güncelleme: 29.09.2014

Açıklama

Bash'te (CVE-2014-6271) saldırgan tarafından kontrol edilen herhangi bir ortam değişkeni ayrıştırmasına dayalı olarak kodun uzaktan yürütülmesine izin veren bir hata bulunmaktadır. En sık karşılaşılan istismar vektörü, web sunucusunda sunulan CGI komut dosyalarına yapılan kötü amaçlı HTTP istekleri yoluyla gerçekleştirilir. Daha fazla bilgi için hata açıklaması bölümünü inceleyin.

26.09.2014 tarihinden önceki Compute Engine konuk işletim sistemi görüntüleri haricindeki bash hatalarının taşıdığı risk oranı, Google Cloud Platform Ürünleri için azaltılmıştır. Compute Engine görüntülerinizdeki hata riskini azaltmak için gerekli olan adımlara aşağıdan ulaşabilirsiniz.

Google Compute Engine'e etkisi

Bu hata, CGI komut dosyalarının kullanıldığı neredeyse tüm web sitelerini etkileyebilir. Ayrıca PHP, Perl, Python, SSI, Java, C++ ve benzeri servlet'ler üzerinden çalışan ve popen, system, shell_exec veya benzeri API'ler gibi çağrılar aracılığıyla kabuk komutlarını çağıran web sitelerini de etkileyebilir. Bu durum, erişimi sınırlı olan kullanıcılara SSH komut sınırlaması veya bash sınırlı kabuk gibi mekanizmalar yoluyla kontrollü oturum açma erişimine izin vermeye çalışan sistemleri de etkileyebilir.

Güncelleme (29.09.2014):

Aşağıda belirtilen manuel güncelleme komutlarını çalıştırmaya alternatif olarak kullanıcılar, artık örneklerini bash güvenlik hatalarıyla (CVE-2014-7169, CVE-2014-6277, CVE-2014-6278, CVE-2014-7186 ve CVE-2014-7187 dahil olmak üzere) alakalı ek güvenlik açığı riskini azaltan görüntülerle yeniden oluşturabilir. Örneklerinizi tekrar oluşturmak için aşağıdaki yeni görüntüleri kullanın:

  • centos-6-v20140926
  • centos-7-v20140926
  • debian-7-wheezy-v20140926
  • backports-debian-7-wheezy-v20140926
  • rhel-6-v20140926

Güncelleme (25.09.2014):

Kullanıcılar artık manuel güncelleme yapmak yerine örneklerini yeniden oluşturabilir. Örneklerinizi yeniden oluşturmak için bu güvenlik hatasına yönelik düzeltmeleri içeren aşağıdaki yeni görüntüleri kullanın:

  • backports-debian-7-wheezy-v20140924
  • debian-7-wheezy-v20140924
  • rhel-6-v20140924
  • centos-6-v20140924
  • centos-7-v20140924

RHEL ve SUSE görüntüleri için, örnekleriniz üzerinde aşağıdaki komutları çalıştırıp güncellemeleri manuel olarak yapabilirsiniz:


# RHEL instances
user@my-instance:~$ sudo yum -y upgrade

# SUSE instances
user@my-instance:~$ sudo zypper --non-interactive up

Orijinal bülten:

Linux dağıtımlarınızı yükseltmenizi öneririz. Debian'ı çalıştıran örneklerinizde aşağıdaki komutları çalıştırarak güncelleme yapabilirsiniz:


user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade

CentOS örnekleri için:


user@my-instance:~$ sudo yum -y upgrade

Ayrıntılı bilgi için ilgili Linux dağıtımıyla alakalı duyuruyu inceleyin:

Yüksek CVE-2014-7169, CVE-2014-6271, CVE-2014-6277, CVE-2014-6278 CVE-2014-7186, CVE-2014-7187
Yayınlanma tarihi: 25.07.2014

Açıklama

Elasticsearch Logstash, verilerin yetkisiz olarak değiştirilmesi ve ifşa edilmesine izin verebilen işletim sistemi komutlarının eklenmesine karşı savunmasızdır. Saldırgan, hazırlanan olayları Logstash'in herhangi bir veri kaynağına gönderebilir. Böylece Logstash işleminin iznini alarak komutları yürütebilir.

Google Compute Engine'e etkisi

Bu güvenlik açığı, zabbix veya nagios_nsca çıkışlarının etkinleştirildiği ve Elasticsearch Logstash'in 1.4.2'den önceki sürümlerini çalıştıran tüm Compute Engine örneklerini etkiler. Saldırıyı önlemek için aşağıdakilerden birini yapabilirsiniz:

  • Logstash 1.4.2 sürümüne geçme
  • 1.3.x sürümleri için yamayı uygulama
  • zabbix ve nagios_nsca çıkışlarını devre dışı bırakma.

Logstash blogundan daha fazla bilgi edinebilirsiniz.

Ayrıca Elasticsearch, güvenilir olmayan IP'lerin uzaktan erişimini önlemek için güvenlik duvarı kullanmanızı önerir.

Yüksek CVE-2014-4326
Yayınlanma tarihi: 18.06.2014

Açıklama

Müşterilerin, Google Cloud Platform'da çalışırken Docker container'larının güvenliği hakkında doğabilecek endişelerine değinmek istiyoruz. Bu durum, Docker Container'larını, container için optimize edilmiş sanal makineleri veya Açık Kaynaklı Kubernetes zamanlayıcısını destekleyen Google App Engine uzantılarını kullanan müşterileri ilgilendirmektedir.

Docker, konuyu ustaca ele almıştır. İlgili blog yazısına buradan ulaşabilirsiniz. Yazılarında da belirtildiği gibi, açıklanan sorunun yalnızca daha eski, üretim öncesi bir sürüm olan Docker 0.11 için geçerli olduğunu hatırlatmak isteriz.

Herkes container güvenliği üzerine düşünürken, Google Cloud Platform'daki Linux uygulama container'ı tabanlı çözümlerin (özellikle Docker container'ları) tam sanal makinelerde (Google Compute Engine) çalıştığına dikkat çekmek isteriz. Docker topluluğunun Linux uygulama container yığınını daha güvenli hale getirme çabalarına destek vermekteyiz. Ancak teknolojinin yeni, yüzey alanının ise geniş olduğunun farkındayız. Şimdilik, tam hipervizörlerin (sanal makineler) daha kompakt ve savunulabilir bir yüzey alanına sahip olduğu kanaatindeyiz. Sanal makineler, kötü amaçlı iş yüklerini ayırmak ve kod hatalarının görülme ihtimaliyle etkisini en aza indirmek için baştan tasarlanmıştır.

Müşterilerimiz, üçüncü taraf kötü amaçlı olabilecek kodlarla kendileri arasında tam hipervizörlerin yer aldığından emin olabilir. Linux uygulama container yığınının, çok kiracılı iş yüklerini destekleyecek kadar sağlam olduğuna karar verilirse topluluk, bu durumdan haberdar edilecektir. Şimdilik Linux uygulama container'ı, sanal makinenin yerini alamamaktadır. Container, sanal makineden daha fazla yararlanabilmenizi sağlar.

Düşük Docker blog yayını
Yayınlanma tarihi: 05.06.2014, son güncellenme tarihi: 09.06.2014

Açıklama

OpenSSL'de, ChangeCipherSpec mesajlarının el sıkışma durumu makinesine doğru şekilde bağlanmama sorunu görülmektedir. Bu hata, mesajların el sıkışmaya erkenden eklenmesine neden olur. Dikkatlice hazırlanmış bir el sıkışma kullanan saldırganlar, OpenSSL SSL/TLS istemci ve sunucularında zorla zayıf anahtarlama malzemesi kullanılmasına neden olabilir. Bu durum, saldırganın saldırıya uğrayan istemci ve sunucu trafiğini çözüp değiştirdiği, bağlantıyı izinsiz izleme (MITM) saldırısı tarafından istismar edilebilir.

Bu sorun CVE-2014-0224 koduyla tanımlanmıştır. OpenSSL ekibi sorunu çözmüş, OpenSSL topluluğunu OpenSSL'yi güncelleme konusunda uyarmıştır.

Google Compute Engine'e etkisi

Bu güvenlik açığı; Debian, CentOS, Red Hat Enterprise Linux ve SUSE Linux Enterprise Server da dahil olmak üzere OpenSSL kullanan tüm Compute Engine örneklerini etkiler. Örneklerinizi yeni görüntülerle yeniden oluşturarak güncelleyebilirsiniz. Örneklerinizdeki paketleri manuel olarak güncelleme yönteminden de yararlanabilirsiniz.

Güncelleme (09.06.2014): SUSE Linux Enterprise Server çalıştıran örneklerinizi yeni görüntülerle güncellemek için aşağıdaki görüntü sürümlerini veya daha yenilerini kullanarak örneklerinizi yeniden oluşturun:

  • sles-11-sp3-v20140609

Orijinal yayın:

Yeni görüntüler kullanarak Debian ve CentOS örneklerini güncellemek için aşağıdaki görüntü sürümlerini veya daha yenilerini kullanarak örneklerinizi yeniden oluşturun:

  • debian-7-wheezy-v20140605
  • backports-debian-7-wheezy-v20140605
  • centos-6-v20140605
  • rhel-6-v20140605

Örneklerinizde OpenSSL'yi manuel olarak güncellemek için aşağıdaki komutları çalıştırarak uygun paketleri güncelleyin. CentOS ve RHEL'yi çalıştıran örneklerde, bu komutları kendi örneğinizde çalıştırarak OpenSSL'yi güncelleyebilirsiniz:


user@my-instance:~$ sudo yum -y update
user@my-instance:~$ sudo reboot

Debian'ı çalıştıran örneklerinizde aşağıdaki komutları çalıştırarak OpenSSL'yi güncelleyebilirsiniz:


user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get -y upgrade
user@my-instance:~$ sudo reboot

SUSE Linux Enterprise Server'ı çalıştıran örneklerinizde aşağıdaki komutları çalıştırarak OpenSSL'nin güncel olmasını sağlayabilirsiniz:


user@my-instance:~$ sudo zypper --non-interactive up
user@my-instance:~$ sudo reboot
Orta CVE-2014-0224
Yayınlanma tarihi: 08.04.2014

Açıklama

1.0.1g'den önceki OpenSSL 1.0.1'de bulunan (1) TLS ve (2) DTLS uygulamaları, Heartbeat Uzantı paketlerini düzgün bir şekilde çalıştıramamaktadır. Bu, uzaktaki saldırganların, arabelleğin fazla okunmasını tetikleyen hazırlanmış paketler yoluyla hassas bilgiler edinmesine yol açar. Bu durum, Heartbleed hatası olarak da bilinen d1_both.c ve t1_lib.c ile ilgili gizli anahtarların okunmasıyla da gösterilmiştir.

Google Compute Engine'e etkisi

Bu güvenlik açığı, OpenSSL'nin en güncel sürüme sahip olmayan Compute Engine Debian, RHEL ve CentOS örneklerini etkiler. Örneklerinizi yeni görüntülerle yeniden oluşturarak güncelleyebilirsiniz. Örneklerinizdeki paketleri manuel olarak güncelleme yönteminden de yararlanabilirsiniz.

Yeni görüntüler kullanarak örneklerinizi güncellemek için aşağıdaki görüntü sürümlerini veya daha yenilerini kullanarak örneklerinizi yeniden oluşturun:

  • debian-7-wheezy-v20140408
  • backports-debian-7-wheezy-v20140408
  • centos-6-v20140408
  • rhel-6-v20140408

Örneklerinizde OpenSSL'yi manuel olarak güncellemek için aşağıdaki komutları çalıştırarak uygun paketleri güncelleyin. CentOS ve RHEL'yi çalıştıran örneklerde, bu komutları kendi örneğinizde çalıştırarak OpenSSL'nin güncel olmasını sağlayabilirsiniz:


user@my-instance:~$ sudo yum update
user@my-instance:~$ sudo reboot

Debian'ı çalıştıran örneklerinizde aşağıdaki komutları çalıştırarak OpenSSL'yi güncelleyebilirsiniz:


user@my-instance:~$ sudo apt-get update
user@my-instance:~$ sudo apt-get upgrade
user@my-instance:~$ sudo reboot

SUSE Linux çalıştıran örnekler, bu durumdan etkilenmez.

14 Nisan 2014 tarihli güncelleme: Compute Engine; Heartbleed hatalarını kullanarak anahtarları ayıklama üzerine yapılan yeni araştırmaların sonucunda, Compute Engine müşterilerinin etkilenen tüm SSL hizmetleri için yeni anahtarlar oluşturmasını önermektedir.

Orta CVE-2014-0160
Yayınlanma tarihi: 07.06.2013

Açıklama

Not: Bu güvenlik açığı, yalnızca API v1 sürümünden itibaren silinen ve kullanımdan kaldırılan çekirdekler için geçerlidir.

3.9.4 ve öncesi sürümlere sahip olan Linux çekirdeğindeki Broadcom B43 kablosuz sürücüsünün drivers/net/wireless/b43/main.c üzerindeki b43_request_firmware işlevinde yer alan biçim dizesi güvenlik açığı, yerel kullanıcıların kök erişiminden yararlanarak ve fwpostfix modprobe parametresindeki biçim dizesi belirteçlerini dahil ederek ayrıcalık kazanmasına yol açar. Bu da, hata mesajının yanlış biçimde oluşturulmasına neden olur.

Google Compute Engine'e etkisi

Bu güvenlik açığı, gcg-3.3.8-201305291443 ve daha eski tüm Google Compute Engine çekirdeklerini etkiler. Google Compute Engine, çözüm olarak önceki tüm çekirdekleri kullanımdan kaldırmış ve kullanıcılarına, örnek ve görüntülerini Google Compute Engine gce-v20130603 çekirdeğini kullanacak şekilde güncellemelerini önermiştir. gce-v20130603, bu güvenlik açığı için yamaya sahip gcg-3.3.8-201305291443 çekirdeğini içerir.

Örneğinizin hangi çekirdek sürümünü kullandığını öğrenmek için:

  1. Örneğinize ssh uygulayın
  2. uname -r komutunu çalıştırın
Orta CVE-2013-2852
Yayınlanma tarihi: 07.06.2013

Açıklama

Not: Bu güvenlik açığı, yalnızca API v1 sürümünden itibaren silinen ve kullanımdan kaldırılan çekirdekler için geçerlidir.

3.9.4 ve öncesi sürümlere sahip olan Linux çekirdeğinde, block/genhd.c üzerindeki register_disk işlevinde yer alan biçim dizesi güvenlik açığı, yerel kullanıcıların hazırlanmış /dev/md cihaz adı oluşturmak için kök erişiminden yararlanmalarına ve /sys/module/md_mod/parameters/new_array için biçim dizesi tanımlayıcılarını yazmalarına izin verir.

Google Compute Engine'e etkisi

Bu güvenlik açığı, gcg-3.3.8-201305291443 ve daha eski tüm Google Compute Engine çekirdeklerini etkiler. Google Compute Engine, çözüm olarak önceki tüm çekirdekleri kullanımdan kaldırmış ve kullanıcılarına, örnek ve görüntülerini Google Compute Engine gce-v20130603 çekirdeğini kullanacak şekilde güncellemelerini önermiştir. gce-v20130603, bu güvenlik açığı için yamaya sahip gcg-3.3.8-201305291443 çekirdeğini içerir.

Örneğinizin hangi çekirdek sürümünü kullandığını öğrenmek için:

  1. Örneğinize ssh uygulayın
  2. uname -r komutunu çalıştırın
Orta CVE-2013-2851
Yayınlanma tarihi: 14.05.2013

Açıklama

Not: Bu güvenlik açığı, yalnızca API v1 sürümünden itibaren silinen ve kullanımdan kaldırılan çekirdekler için geçerlidir.

3.8.9 öncesi sürümlere sahip Linux çekirdeğinde yer alan kernel/events/core.c üzerindeki perf_swevent_init işlevi, yanlış integer veri türünü kullanır. Bu da, yerel kullanıcıların hazırlanmış bir perf_event_open sistem çağrısı üzerinden ayrıcalık kazanabilmesine neden olur.

Google Compute Engine'e etkisi

Bu güvenlik açığı, gcg-3.3.8-201305211623 öncesindeki tüm Google Compute Engine çekirdeklerini etkiler. Google Compute Engine, çözüm olarak önceki tüm çekirdekleri kullanımdan kaldırmış ve kullanıcılarına, örnek ve görüntülerini Google Compute Engine gce-v20130521 çekirdeğini kullanacak şekilde güncellemelerini önermiştir. gce-v20130521, bu güvenlik açığı için yamaya sahip gcg-3.3.8-201305211623 çekirdeğini içerir.

Örneğinizin hangi çekirdek sürümünü kullandığını öğrenmek için:

  1. Örneğinize ssh uygulayın
  2. uname -r komutunu çalıştırın
Yüksek CVE-2013-2094
Yayınlanma tarihi: 18.02.2013

Açıklama

Not: Bu güvenlik açığı, yalnızca API v1 sürümünden itibaren silinen ve kullanımdan kaldırılan çekirdekler için geçerlidir.

3.7.5 öncesi sürümlere sahip olan Linux çekirdeğinin ptrace işlevindeki yarış durumu, yerel kullanıcıların hazırlanmış bir uygulamadaki PTRACE_SETREGS ptrace sistem çağrısı yoluyla ayrıcalık kazanabilmesine neden olur.

Google Compute Engine'e etkisi

Bu güvenlik açığı, Google Compute Engine'in 2.6.x-gcg-<date> çekirdeklerini etkiler. Google Compute Engine, çözüm olarak 2.6.x sürümüne sahip çekirdekleri kullanımdan kaldırmış ve kullanıcılarına, örnek ve görüntülerini Google Compute Engine gce-v20130225 çekirdeğini kullanacak şekilde güncellemelerini önermiştir. gce-v20130225, bu güvenlik açığı için yamaya sahip 3.3.8-gcg-201302081521 çekirdeğini içerir.

Örneğinizin hangi çekirdek sürümünü kullandığını öğrenmek için:

  1. Örneğinize ssh uygulayın
  2. uname -r komutunu çalıştırın
Orta CVE-2013-0871
Bu sayfayı yararlı buldunuz mu? Lütfen görüşünüzü bildirin:

Şunun hakkında geri bildirim gönderin...

Compute Engine Documentation