我們會不定期發布與 Compute Engine 相關的安全性公告,您可以在這裡找到所有 Compute Engine 安全性公告的相關說明。
發布日期:2019 年 6 月 18 日
上次更新時間:太平洋標準時間 2019 年 6 月 25 日 6:30
說明 | 嚴重性 | 附註 |
---|---|---|
說明Netflix 最近揭露了 Linux 核心的 3 個 TCP 安全漏洞: 上述 CVE 統稱為 NFLX-2019-001。 對 Compute Engine 的影響託管 Compute Engine 的基礎架構具備防護機制,因此不會受到這個安全漏洞的影響。 如果 Compute Engine VM 執行未經修補的 Linux 作業系統,且該作業系統會傳送/接收不受信任的網路流量,這個 VM 就可能會受到這類 DoS 攻擊。因此,我們建議您在該作業系統的修補程式推出時,立即更新這些 VM 執行個體。 我們已針對這個安全漏洞修補會終止 TCP 連線的負載平衡器。如果 Compute Engine 執行個體只透過這些負載平衡器接收不受信任流量,則沒有安全漏洞。這些負載平衡器包括 HTTP 負載平衡器、安全資料傳輸層 (SSL) Proxy 負載平衡器,以及 TCP Proxy 負載平衡器。 網路負載平衡器和內部負載平衡器不會終止 TCP 連線。如果是未經修補的 Compute Engine 執行個體,且會透過這些負載平衡器接收不受信任流量,則有安全漏洞。 修補完成的映像檔與廠商資源當每個作業系統廠商發布修補程式資訊時,我們就會在這裡提供相關連結,包括每個 CVE 的狀態。這些公開映像檔的較舊版本並未包含這些修補程式,因此無法緩解潛在的攻擊活動:
|
中 |
發布日期:2019 年 5 月 14 日
上次更新時間:太平洋標準時間 2019 年 5 月 20 日 17:00
說明 | 嚴重性 | 附註 |
---|---|---|
說明Intel 已揭露下列 CVE: 上述 CVE 統稱為「微架構資料取樣」(MDS)。當系統利用微架構狀態來進行推測執行的互動時,這些安全漏洞會使資料有曝光風險。 對 Compute Engine 的影響執行 Compute Engine 的主機基礎架構會讓各個客戶工作負載之間彼此隔離。除非您在 VM 中執行不受信任的程式碼,否則就不必採取進一步的行動。 如果客戶在 Compute Engine 虛擬機器中自己的多用戶群服務上執行不受信任的程式碼,請參考您客體 OS 廠商建議的緩解方法,其中可能包含使用 Intel 的微碼緩解功能。我們已經為新的清除功能部署訪客傳遞存取權。以下概述適用於一般訪客映像檔的緩解步驟。 修補完成的映像檔與廠商資源當每個作業系統廠商發布修補程式資訊時,我們就會在這裡提供相關連結,包括每個 CVE 的狀態。請使用這些映像檔來重新建立 VM 執行個體。這些公開映像檔的較舊版本並未包含這些修補程式,因此無法緩解潛在的攻擊活動:
Container-Optimized OS如果您把 Container Optimized OS (COS) 當做客體 Guest OS 來使用,且您在自己的虛擬機器上執行不受信任的多用戶群工作負載,我們建議您:
|
中 |
發布日期:2018 年 8 月 14 日
上次更新時間:太平洋標準時間 2018 年 8 月 20 日 17:00
說明 | 嚴重性 | 附註 |
---|---|---|
說明Intel 已揭露下列 CVE:
上述 CVE 統稱為「L1 終端機錯誤」(L1TF)。 這些 L1TF 安全漏洞會攻擊處理器層級資料結構的設定,藉此利用推測執行攻擊。「L1」是指 1 級資料快取 (L1D),這是一種用於加快記憶體存取速度的小型核心資源。 歡迎參閱 Google Cloud 網誌文章,進一步瞭解這些安全漏洞和 Compute Engine 的解決方法。 對 Compute Engine 的影響用於執行 Compute Engine 及隔離各個客戶工作負載的主機基礎架構具備充分的防護機制,因此未受到已知攻擊的影響。 我們建議 Compute Engine 的客戶更新映像檔,以免訪客環境中出現間接的惡意利用活動。對於在 Compute Engine 虛擬機器上執行多用戶群服務的客戶來說,這一點尤為重要。 Google Compute Engine 的客戶可以透過下列其中一種方法更新執行個體上的訪客作業系統:
修補完成的映像檔與廠商資源作業系統廠商發布修補程式資訊之後,我們就會在這裡提供相關連結和前述兩個 CVE 的狀態。您可以使用這些映像檔來重新建立 VM 執行個體。這些公開映像檔的舊有版本未包含這些修補程式,因此無法防範潛在的攻擊活動:
|
高 |
發布日期:2018 年 8 月 6 日
上次更新時間:太平洋標準時間 2018 年 9 月 5 日 17:00
說明 | 嚴重性 | 附註 |
---|---|---|
2018 年 9 月 5 日更新US-CERT 於 2018 年 8 月 14 日揭露 CVE-2018-5391。這個安全漏洞與 CVE-2018-5390 均為核心層級的網路安全漏洞,會提高針對不安全系統進行的阻斷服務 (DoS) 攻擊效率。兩者的主要差異在於不肖人士可以透過 IP 連線利用 CVE-2018-5391。我們已更新這則公告,以補充這兩個安全漏洞的相關資訊。 說明CVE-2018-5390 (或稱為「SegmentSmack」) 屬於核心層級的網路安全漏洞,可透過 TCP 連線提高針對不安全系統進行的阻斷服務 (DoS) 攻擊效率。 CVE-2018-5391 (或稱為「FragmentSmack」) 屬於核心層級的網路安全漏洞,可透過 IP 連線提高針對不安全系統進行的阻斷服務 (DoS) 攻擊效率。 對 Compute Engine 的影響執行 Compute Engine VM 的主機基礎架構並未受到影響。處理 Compute Engine VM 傳入與傳出流量的網路基礎架構具備充分的防護機制,因此未受到這個安全漏洞的影響。只會透過 HTTP(S)、SSL 或 TCP 負載平衡器傳送/接收不受信任網路流量的 Compute Engine VM 已得到保護,不會受到這個安全漏洞的影響。 如果 Compute Engine VM 執行未經修補的作業系統,且該作業系統會直接或透過網路負載平衡器傳送/接收不受信任的網路流量,這個 VM 就可能受到這類 DoS 攻擊的影響。 VM 執行個體的作業系統廠商發布修補程式之後,建議您立即進行更新。 Compute Engine 的客戶可以透過下列其中一種方法更新執行個體上的訪客作業系統:
修補完成的映像檔與廠商資源當每個作業系統廠商發布修補程式資訊時,我們就會在這裡提供相關連結。
|
高 |
發布日期:2018 年 1 月 3 日
上次更新時間:太平洋標準時間 2018 年 5 月 21 日 15:00
說明 | 嚴重性 | 附註 |
---|---|---|
2018 年 5 月 21 日更新Intel 已經揭露 CVE-2018-3640 和 CVE-2018-3639 (分別為變種 3a 和變種 4)。與 Spectre 和 Meltdown 前三個變種的情況相同,執行 Compute Engine VM 執行個體的基礎架構具備充分的防護機制,因此未受到這個安全漏洞的影響。由於客戶 VM 執行個體彼此隔離,亦未受影響。另外,Compute Engine 預計將 Intel 的微碼修補程式部署至自有基礎架構。作業系統廠商與供應商提供可於 VM 內部執行的解決方法之後,在單一 VM 執行個體中處理不受信任或多用戶群工作負載的客戶即可啟用這類額外的解決方法。這些微碼修補程式必須通過 Intel 認證,並由 Compute Engine 在實際工作環境中進行測試及驗證後,Compute Engine 才會加以部署。修補程式發布之後,我們會在這個頁面中提供更詳細的時程表與相關最新消息。 說明這些 CVE 屬於新型攻擊的變種,會利用多種處理器中的推測執行技術。發動這類攻擊之後,未獲授權的使用者就能在多種情況下取得記憶體資料的唯讀存取權。 Compute Engine 使用 VM 即時遷移技術來執行主機系統和管理程序更新,因此您無須指派任何人加以管理,也不需要進行強制性維護作業或大規模重新啟動執行個體。不過請注意,無論訪客作業系統是在何種環境中運作,這類作業系統和版本都必須經過修補,否則可能會受到這種新型攻擊的威脅。 如要全面瞭解這種攻擊方法的相關技術資訊,請參閱 Project Zero 網誌文章。如想取得 Google 解決方法的完整詳細資訊 (包括所有產品專用資訊),則請參閱 Google 安全性網誌文章。 對 Compute Engine 的影響用於執行 Compute Engine 及隔離各個客戶 VM 執行個體的基礎架構具備充分的防護機制,因此未受到已知攻擊的影響。部署我們的解決方法之後,您就能預防不肖人士未經授權即透過 VM 執行個體中運作的應用程式存取主機系統,執行相同主機系統的其他 VM 執行個體也不會遭到未經授權的存取。 如要避免虛擬機器執行個體中發生未經授權的存取活動,您必須透過下列其中一種方法更新這些執行個體上的訪客作業系統:
修補完成的映像檔與廠商資源注意事項:這則安全性公告通知列出了多項 CVE,但修補完成的映像檔中可能未含所有安全漏洞的修正內容。另外,不同映像檔中提供的攻擊防護方法可能不同。請與您的作業系統廠商聯絡,確認對方在修補程式中解決的 CVE 為何,並瞭解他們採用何種防護方法。
您可以使用這些映像檔來重新建立 VM 執行個體。這些公開映像檔的舊有版本未包含這些修補程式,因此無法防範潛在的攻擊活動。 硬體廠商提供的修補程式NVIDIA 提供經過修補的驅動程式,可防範針對已安裝 NVIDIA® 驅動程式軟體的系統進行的潛在攻擊。如想瞭解哪些驅動程式版本已修補完成,請參閱 NVIDIA 的 NVIDIA GPU 顯示器驅動程式安全性更新相關公告。 修訂版本記錄:
|
高 |
發布日期:2017 年 10 月 2 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明Dnsmasq 提供 DNS、DHCP、路由器通告和網路開機服務。這個軟體通常安裝在桌機版本的 Linux (如 Ubuntu)、家用路由器和 IoT 裝置等各種系統中,並且廣泛使用於開放式網路和內部私人網絡。 Google 在定期的內部安全評估過程中,發現了七項值得注意的問題。在確定這些問題的嚴重性後,我們研究了它們的影響和可利用性,然後為每個問題建立內部概念驗證。我們還與 Dnsmasq 的維護人員 Simon Kelly 合作,製作了相應的修補程式來減緩問題。 在截至 2017 年 9 月 5 日的審查過程中,我們的團隊發現了三個潛在的遠端執行程式碼問題、一個資訊外洩和三個阻斷服務安全漏洞,這些問題會影響專案在 git 伺服器上的最新版本。 這些修補程式會回溯既往,並提交至專案的 Git 存放區。 對 Compute Engine 的影響根據預設,Dnsmasq 僅安裝在使用 NetworkManager 的映像檔中,且預設為停用狀態。下列 Compute Engine 公開映像檔已安裝 Dnsmasq:
但是,其他映像檔可能已安裝 Dnsmasq,做為其他套件的依附元件。我們建議您更新 Debian、Ubuntu、CentOS、RHEL、SLES 和 OpenSuse 執行個體,以使用最新的作業系統映像檔。CoreOS 和 Container-Optimized OS 不會受到影響,Windows 映像檔也不會受影響。 執行 Debian 和 Ubuntu 的執行個體,可於執行個體中使用以下指令來更新: sudo apt-get -y update sudo apt-get -y dist-upgrade 如果是 Red Hat Enterprise Linux 和 CentOS 執行個體,請執行: sudo yum -y upgrade 如果是 SLES 和 OpenSUSE 映像檔,請執行: sudo zypper up 除了執行手動更新指令之外,也可以使用個別作業系統的映像檔系列,重新建立 VM 執行個體。 |
高 |
發布日期:2016 年 10 月 26 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明CVE-2016-5195 是 Linux 核心的記憶體子系統在處理 COW 時出現競爭狀況,破壞唯讀與寫入權限的專屬對應關係。 未經授權的本機使用者可利用這個安全漏洞取得對應其他唯讀記憶體的編寫存取權,從而提高他們在系統中的權限。 詳情請參閱 Dirty COW 常見問題。 對 Compute Engine 的影響Compute Engine 上所有的 Linux 發行版和各種版本都受到影響。大多數的執行個體會自動下載並安裝較新的核心。但是,必須重新啟動才能修補正在運作中的系統。 使用下列的 Compute Engine 映像檔新建或重新建立的執行個體已安裝修補過的核心。
|
高 | CVE-2016-5195 |
發布日期:2016 年 2 月 16 日
上次更新時間:2016 年 2 月 22 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明
CVE-2015-7547 是 glibc DNS 用戶端解析器會導致使用 詳情請參閱 Google 線上安全性網誌或常見安全漏洞與資料外洩 (Common Vulnerabilities and Exposures,簡稱 CVE) 資料庫。 對 Compute Engine 的影響更新 (2016 年 2 月 22 日): 現可使用 CoreOS、SLES 和 OpenSUSE 映像檔,重新建立您的執行個體:
更新 (2016 年 2 月 17 日): 現可在 Ubuntu 12.04 LTS、Ubuntu 14.04 LTS 和 Ubuntu 15.10 執行個體上,使用下列指令來更新:
除了執行手動更新指令之外,也可以利用下列的新映像檔來重新建立執行個體:
我們雖然不知道任何以 glibc 預設配置透過 Compute Engine 的 DNS 解析器來利用這個安全漏洞的方法。但是,您仍應盡速修補您的虛擬機器執行個體,因為每當發現新的漏洞,過一段時間可能就會出現新的攻擊方法。如果已啟用 edns0 (預設為停用),您應該在完成執行個體的修補前先改為停用。 原始公告: 您的 Linux 發行版可能存有安全漏洞。如果您是使用 Linux 作業系統的 Compute Engine 客戶,需更新執行個體的作業系統映像檔,以消除這個漏洞。 執行 Debian 的執行個體,可於執行個體中使用以下指令來更新:
另外,我們建議您為 Debian 執行個體安裝UnattendedUpgrades。 如果是 Red Hat Enterprise Linux 執行個體,指令如下:
只要有作業系統維護人員針對這個漏洞發布修補程式,或者 Compute Engine 釋出了作業系統映像檔更新,我們都會更新公告。 |
高 | CVE-2015-7547 |
發布日期:2015 年 3 月 19 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明CVE-2015-1427 是 Groovy 指令碼引擎 Elasticsearch 在 1.3.8 版以前和 1.4.3 之前任何 1.4.x 版的漏洞,使遠端攻擊者可繞過沙箱保護機制並執行任何的殼層指令。 詳情請參閱國家安全漏洞資料庫 (National Vulnerability Database,簡稱 NVD) 或常見安全漏洞與資料外洩 (Common Vulnerabilities and Exposures,簡稱 CVE) 資料庫。 對 Compute Engine 的影響如果您在 Compute Engine 執行個體上執行 Elasticsearch,應將 Elasticsearch 版本升級至 1.4.3 以上版本。如果您已經升級了 Elasticsearch 軟體,則不會受到這個安全漏洞的影響。 如果您尚未升級至 Elasticsearch 1.4.3 以上版本,可執行漸進式升級。 如果您是在 Google Cloud Platform Console 中使用點擊部署來部署 Elasticsearch,您可以透過刪除部署項目來移除執行 Elasticsearch 的執行個體。 Google Cloud Platform 團隊正在研究修復方法,以便部署 Elasticsearch 的更新版本。但是 GCP 主控台的點擊部署功能尚不適用這項修正。 |
高 | CVE-2015-1427 |
發布日期:2015 年 1 月 29 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明CVE-2015-0235 (Ghost) 是 glibc 程式庫中的一個安全漏洞。 App Engine、Cloud Storage、BigQuery 和 CloudSQL 客戶無需採取任何行動。Google 的伺服器已經更新,因此不會受到這個漏洞的影響。 Compute Engine 的客戶可能需要更新 OS 映像檔。 對 Compute Engine 的影響您的 Linux 發行版可能有安全漏洞。如果 Compute Engine 客戶使用的是 Debian 7、Debian 7 backports、Ubuntu 12.04 LTS、Red Hat Enterprise Linux、CentOS 或 SUSE Linux Enterprise Server 11 SP3,則需更新執行個體的作業系統映像檔,以消除這個漏洞。 這個漏洞不影響 Ubuntu 14.04 LTS、Ubuntu 14.10 或 SUSE Linux Enterprise Server 12。 我們建議您升級您的 Linux 發行版。執行 Debian 7、Debian 7 backports 或 Ubuntu 12.04 LTS 的執行個體,可於執行個體中使用以下指令來更新:
如果是 Red Hat Enterprise Linux 或 CentOS 執行個體,指令如下:
如果是 SUSE Linux Enterprise Server 11 SP3 執行個體,指令如下:
除了執行手動更新指令之外,使用者也可利用下列的新映像檔重新建立執行個體:
對 Google 代管 VM 的影響使用 |
高 | CVE-2015-0235 |
發布日期:2014 年 10 月 15 日
上次更新時間:2014 年 10 月 17 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明CVE-2014-3566 (又稱為 POODLE) 是 SSL 3.0 版在設計上的一個安全漏洞。這個漏洞讓網路攻擊者能計算出安全連線中的明文。詳情請參閱我們關於安全漏洞的網誌文章。 App Engine、Cloud Storage、BigQuery 和 CloudSQL 客戶無需採取任何行動。Google 的伺服器已經更新,因此不會受到這個漏洞的影響。Compute Engine 的客戶需要更新 OS 映像檔。 對 Compute Engine 的影響更新 (2014 年 10 月 17 日): 如果您使用 SSLv3,可能會受到攻擊。Compute Engine 客戶需更新執行個體的作業系統映像檔,以消除這個漏洞。 我們建議您升級您的 Linux 發行版。執行 Debian 的執行個體,可於執行個體中使用以下指令來更新: user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot 如果是 CentOS 執行個體,指令如下: user@my-instance:~$ sudo yum -y upgrade user@my-instance:~$ sudo reboot 除了執行手動更新指令之外,使用者也可利用下列的新映像檔重新建立執行個體:
我們有映像檔後,將更新 RHEL 和 SLES 映像檔公告。在此期間,RHEL 使用者可以直接諮詢 Red Hat,以獲取更多資訊。 原始公告: Compute Engine 客戶需更新執行個體的作業系統映像檔,以消除這個漏洞。一旦有新的作業系統映像檔可使用時,我們將更新這則安全公告與操作說明。 |
中 | CVE-2014-3566 |
發布日期:2014 年 9 月 24 日
上次更新時間:2014 年 9 月 29 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明這個 bash 中的錯誤 (CVE-2014-6271) 會根據任何攻擊者控制的環境變數進行剖析,讓攻擊者得以從遠端執行程式碼。最可能的利用手法是透過對暴露於網路伺服器的 CGI 指令碼進行惡意 HTTP 要求。如需詳細資訊,請參閱錯誤說明。 除了 2014 年 9 月 26 日以前的 Compute Engine 客體 OS 映像檔外,Google Cloud Platform 產品上的這個 bash 漏洞都已獲得緩解。請參閱下面的步驟來排除 Compute Engine 映像檔中的錯誤。 對 Compute Engine 的影響這個錯誤可能會影響使用 CGI 指令碼的所有網站。此外,也可能會影響仰賴 PHP、Perl、Python、SSI、JAVA、C++ 和 Servlet 之類的網站,透過呼叫像是 更新 (2014 年 9 月 29 日): 除了執行下列的手動更新指令之外,使用者現在也可以選擇利用映像檔重新建立執行個體,以便防範其他的 bash 安全性錯誤相關安全漏洞問題,其中包含 CVE-2014-7169、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186 和 CVE-2014-7187。 使用下列新映像檔來重新建立您的執行個體:
更新 (2014 年 9 月 25 日): 使用者現可選擇重新建立執行個體,而不必執行手動更新。 如要重新建立您的執行個體,請使用以下已對這個安全漏洞進行修正的新映像檔:
至於 RHEL 和 SUSE 映像檔,可於執行個體上使用下列指令來手動更新: # RHEL instances user@my-instance:~$ sudo yum -y upgrade # SUSE instances user@my-instance:~$ sudo zypper --non-interactive up 原始公告: 我們建議您升級您的 Linux 發行版。如果是執行 Debian 的執行個體,您可於執行個體中使用以下指令來更新: user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade 如果是 CentOS 執行個體,指令如下: user@my-instance:~$ sudo yum -y upgrade 如需詳細信息,請查看個別的 Linux 發行版公告:
|
高 | CVE-2014-7169、CVE-2014-6271、CVE-2014-6277、CVE-2014-6278、CVE-2014-7186、CVE-2014-7187 |
發布日期:2014 年 7 月 25 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明Elasticsearch Logstash 容易受到 OS 指令注入攻擊,這會允許未經授權的修改和資料揭露。攻擊者可以向任何 Logstash 的資料來源傳送蓄意設計的事件,允許攻擊者使用 Logstash 處理程序的權限來執行指令。 對 Compute Engine 的影響這個安全漏洞會影響 Elasticsearch Logstash 版本低於 1.4.2 並啟用 zabbix 或 nagios_nsca 輸出的所有 Compute Engine 執行個體。為了防止攻擊,您可以:
深入閱讀 Logstash 網誌的內容。 Elasticsearch 建議使用防火牆來防止不受信任的 IP 進行遠端存取。 |
高 | CVE-2014-4326 |
發布日期:2014 年 6 月 18 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明我們想花點時間來回應客戶對於 Google Cloud Platform 上執行的 Docker 容器安全性可能會有的任何疑慮。 採用支援 Docker 容器、容器最佳化虛擬機器或開放原始碼 Kubernetes 排程器的 Google App Engine 擴充功能的客戶,可能都會有這些疑慮。 Docker 已針對這個問題提供完善的說明,按這裡即可瀏覽他們的網誌回應內容。請注意,一如他們在回覆內容中所說,此次發現的問題僅存在於未正式推出的舊有版本 Docker 0.11。 雖然全世界都在思考容器安全性問題,但我們想強調的是,以 Linux 應用程式容器為基礎的解決方案 (尤其是 Docker 容器) 可以完全在 Google Cloud Platform 的虛擬機器 (Google Compute Engine) 中運作。雖然我們支持 Docker 社群加強在 Linux 應用程式容器堆疊上的努力,但我們認識到這是一項新的技術,而且牽涉範圍廣大。我們相信就目前來說,完整的管理程序(虛擬機器)提供了更精簡和更具防禦性的介面區。虛擬機器從一開始就是為隔離惡意工作負載而設計,並盡量減少程式碼錯誤的可能性和影響。 我們的客戶可以放心,他們和任何可能具有惡意程式碼的第三方之間,存在全面的管理程序防線。如果我們認為 Linux 應用程式容器堆疊的穩健程度,已足以支援多租戶工作負載時,我們將會讓社群知道這一點。就目前來說,Linux 應用程式容器不會取代虛擬機器。這是完成更多工作的方式。 |
低 | Docker 網誌文章 |
發布日期:2014 年 6 月 5 日
上次更新時間:2014 年 6 月 9 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明
OpenSSL 在處理 這個問題已標識為 CVE-2014-0224。OpenSSL 團隊已修正了這個問題,並提醒 OpenSSL 社群更新 OpenSSL。 對 Compute Engine 的影響這個安全漏洞會影響所有使用 OpenSSL 的 Compute Engine 執行個體,包括 Debian、CentOS、Red Hat Enterprise Linux 和 SUSE Linux Enterprise Server。您可以透過使用新映像檔重新建立執行個體,也可以手動更新執行個體上的套件。 更新 (2014 年 6 月 9 日):要利用新映像檔更新執行 SUSE Linux Enterprise Server 的執行個體,請使用下列映像檔版本或更新版本重新建立執行個體:
原始文章: 要利用新映像檔更新 Debian 和 CentOS 的執行個體,請使用下列任一映像檔版本或更新版本重新建立執行個體:
如要在您的執行個體上手動更新 OpenSSL,請執行以下指令來更新相應的套件。若是執行 CentOS 和 RHEL 的執行個體,可於執行個體中使用這些指令來更新 OpenSSL: user@my-instance:~$ sudo yum -y update user@my-instance:~$ sudo reboot 若是執行 Debian 的執行個體,可於執行個體中使用以下指令來更新 OpenSSL: user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get -y upgrade user@my-instance:~$ sudo reboot 若是執行 SUSE Linux Enterprise Server 的執行個體,可於執行個體中使用這些指令來確保 OpenSSL 是最新版本: user@my-instance:~$ sudo zypper --non-interactive up user@my-instance:~$ sudo reboot |
中 | CVE-2014-0224 |
發布日期:2014 年 4 月 8 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明在 OpenSSL 1.0.1 版到 1.0.1g 版本之前的 (1) 傳輸層安全標準 (TLS) 與 (2) DTLS 機制,未適當處理 Heartbeat Extension 封包,讓遠端攻擊者可透過蓄意建構的封包觸發緩衝區過度讀取,進而從記憶體處理程序中獲取機密資訊,例如讀取與 對 Compute Engine 的影響這個安全漏洞會影響所有不具有最新 OpenSSL 版本的 Compute Engine Debian、RHEL 和 CentOS 執行個體。您可以透過使用新映像檔重新建立執行個體,也可以手動更新執行個體上的套件。 要使用新映像檔更新執行個體,請利用下列任一映像檔版本或更新版本重新建立執行個體:
如要在您的執行個體上手動更新 OpenSSL,請執行以下指令來更新相應的套件。若是執行 CentOS 和 RHEL 的執行個體,可於執行個體中使用這些指令來確保 OpenSSL 是最新版本: user@my-instance:~$ sudo yum update user@my-instance:~$ sudo reboot 若是執行 Debian 的執行個體,可於執行個體中使用以下指令來更新 OpenSSL: user@my-instance:~$ sudo apt-get update user@my-instance:~$ sudo apt-get upgrade user@my-instance:~$ sudo reboot 採用 SUSE Linux 的執行個體不受影響。 2014 年 4 月 14 日更新:Compute Engine 根據使用 Heartbleed 漏洞來擷取金鑰的新研究,建議 Compute Engine 客戶為任何受影響的 SSL 服務建立新的金鑰。 |
中 | CVE-2014-0160 |
發布日期:2013 年 6 月 7 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明注意:這個安全漏洞僅對核心造成影響,且自 API 版本 v1 後的核心已遭淘汰及移除。 在 Linux kernel 3.9.4 之前的版本中,Broadcom B43 無線驅動程式中 對 Compute Engine 的影響這個安全漏洞會影響 如要找出您執行個體使用的核心版本:
|
中 | CVE-2013-2852 |
發布日期:2013 年 6 月 7 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明注意:這個安全漏洞僅對核心造成影響,且自 API 版本 v1 後的核心已遭淘汰及移除。 在 Linux kernel 3.9.4 之前的版本中, 對 Compute Engine 的影響這個安全漏洞會影響 如要找出您執行個體使用的核心版本:
|
中 | CVE-2013-2851 |
發布日期:2013 年 5 月 14 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明注意:這個安全漏洞僅對核心造成影響,且自 API 版本 v1 後的核心已遭淘汰及移除。 在 Linux kernel 3.8.9 之前的版本中, 對 Compute Engine 的影響這個安全漏洞會影響 如要找出您執行個體使用的核心版本:
|
高 | CVE-2013-2094 |
發布日期:2013 年 2 月 18 日
說明 | 嚴重性 | 附註 |
---|---|---|
說明注意:這個安全漏洞僅對核心造成影響,且自 API 版本 v1 後的核心已遭淘汰及移除。 在 Linux kernel 3.7.5 之前的版本中,ptrace 存在競爭狀況,本機使用者可在蓄意設計的應用程式中透過 對 Compute Engine 的影響這個安全漏洞會影響 Compute Engine 核心 如要找出您執行個體使用的核心版本:
|
中 | CVE-2013-0871 |