Questa pagina è stata tradotta dall'API Cloud Translation.

Bollettini sulla sicurezza

Di seguito sono descritti tutti i bollettini sulla sicurezza relativi a Dataflow.

Per ricevere gli ultimi bollettini sulla sicurezza, esegui una delle seguenti operazioni:

Aggiungi l'URL di questa pagina al tuo lettore di feed.
Aggiungi l'URL del feed direttamente al tuo aggregatore di feed: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

Pubblicato: 03/07/2024

Descrizione Gravità Note

Descrizione	Gravità	Note
Una vulnerabilità di esecuzione di codice remoto CVE-2024-6387, è stato rilevato di recente in OpenSSH. I job Dataflow potrebbero creare VM che utilizzano un'immagine del sistema operativo con versioni di OpenSSH vulnerabili a CVE-2024-6387. La vulnerabilità potrebbe consentire agli attaccanti di ottenere l'accesso come utente root alle VM worker Dataflow. Le VM worker Dataflow con indirizzi IP pubblici e SSH esposti a internet devono essere trattate con la massima priorità per la mitigazione. Che cosa devo fare? È disponibile un'immagine VM Dataflow con patch che include un OpenSSH aggiornato. Ti consigliamo di svolgere i seguenti passaggi per controllare della pipeline dell'esposizione diretta e quindi applicando le mitigazioni descritte, se necessario. Disabilitare l'accesso SSH alle VM worker Dataflow Questa azione è la misura di mitigazione più efficace contro le vulnerabilità attuali e future in SSH. Accesso SSH alle VM worker Dataflow non è richiesto o per il debug della maggior parte dei problemi di Dataflow. Utilizza il seguente comando di Google Cloud CLI per disabilitare SSH per le VM Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=`NETWORK` \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Per annullare questa azione, utilizza il `gcloud compute firewall-rules delete block-ssh-dataflow` . Aggiornare o riavviare le pipeline di streaming di lunga durata Questa azione risolve la vulnerabilità specifica indicata in questo bollettino. Qualsiasi job Dataflow avviato dopo il 4/07/2024 alle 22:00 PDT all'immagine VM con patch. Per le pipeline di streaming lanciate prima di questa data, per utilizzare l'immagine VM con patch, devi aggiornare manualmente il job o riavviare il job. Identificare quali job Dataflow hanno VM worker con indirizzi IP pubblici A meno che l'accesso non sia bloccato dai firewall, le porte SSH di Dataflow le VM worker con indirizzi IP pubblici sono aperte a internet. per ottenere un elenco di job Dataflow che hanno avviato VM con IP esterno. utilizza il seguente comando gcloud CLI: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" \| sort -u Per esaminare l'elenco di tutte le VM con indirizzi IP esterni nel tuo progetto, usa il seguente comando gcloud CLI: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Disattivare gli IP pubblici nei job Dataflow Questo passaggio garantisce che le porte SSH non siano aperte alla rete internet pubblica. A meno che l'accesso non sia bloccato da un firewall, questa configurazione lascia le porte aperte per altri utenti con accesso a questa rete. Le pipeline Dataflow che non accedono alla rete internet pubblica non richiedono per utilizzare gli indirizzi IP pubblici. Se identifichi pipeline che utilizzano indirizzi IP pubblici, ma non richiedono l'accesso pubblico a internet, disattiva gli indirizzi IP esterni per queste pipeline. Per istruzioni, vedi Disattiva l'indirizzo IP esterno. Quali vulnerabilità vengono affrontate? La vulnerabilità CVE-2024-6387 sfrutta una race condition che potrebbe essere utilizzata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root VM worker Dataflow. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiedere diverse ore per ogni attacco. Me non sono a conoscenza di tentativi di sfruttamento.	Medio	CVE-2024-6387

Una vulnerabilità di esecuzione di codice remoto CVE-2024-6387, è stato rilevato di recente in OpenSSH. I job Dataflow potrebbero creare VM che utilizzano un'immagine del sistema operativo con versioni di OpenSSH vulnerabili a CVE-2024-6387. La vulnerabilità potrebbe consentire agli attaccanti di ottenere l'accesso come utente root alle VM worker Dataflow. Le VM worker Dataflow con indirizzi IP pubblici e SSH esposti a internet devono essere trattate con la massima priorità per la mitigazione.

Che cosa devo fare?

È disponibile un'immagine VM Dataflow con patch che include un OpenSSH aggiornato. Ti consigliamo di svolgere i seguenti passaggi per controllare della pipeline dell'esposizione diretta e quindi applicando le mitigazioni descritte, se necessario.

Disabilitare l'accesso SSH alle VM worker Dataflow

Questa azione è la misura di mitigazione più efficace contro le vulnerabilità attuali e future in SSH.

Accesso SSH alle VM worker Dataflow non è richiesto o per il debug della maggior parte dei problemi di Dataflow.

Utilizza il seguente comando di Google Cloud CLI per disabilitare SSH per le VM Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Per annullare questa azione, utilizza il gcloud compute firewall-rules delete block-ssh-dataflow .

Aggiornare o riavviare le pipeline di streaming di lunga durata

Questa azione risolve la vulnerabilità specifica indicata in questo bollettino.

Qualsiasi job Dataflow avviato dopo il 4/07/2024 alle 22:00 PDT all'immagine VM con patch. Per le pipeline di streaming lanciate prima di questa data, per utilizzare l'immagine VM con patch, devi aggiornare manualmente il job o riavviare il job.

Identificare quali job Dataflow hanno VM worker con indirizzi IP pubblici

A meno che l'accesso non sia bloccato dai firewall, le porte SSH di Dataflow le VM worker con indirizzi IP pubblici sono aperte a internet.

per ottenere un elenco di job Dataflow che hanno avviato VM con IP esterno. utilizza il seguente comando gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Per esaminare l'elenco di tutte le VM con indirizzi IP esterni nel tuo progetto, usa il seguente comando gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Disattivare gli IP pubblici nei job Dataflow

Questo passaggio garantisce che le porte SSH non siano aperte alla rete internet pubblica. A meno che l'accesso non sia bloccato da un firewall, questa configurazione lascia le porte aperte per altri utenti con accesso a questa rete.

Le pipeline Dataflow che non accedono alla rete internet pubblica non richiedono per utilizzare gli indirizzi IP pubblici.

Se identifichi pipeline che utilizzano indirizzi IP pubblici, ma non richiedono l'accesso pubblico a internet, disattiva gli indirizzi IP esterni per queste pipeline. Per istruzioni, vedi Disattiva l'indirizzo IP esterno.

Quali vulnerabilità vengono affrontate?

La vulnerabilità CVE-2024-6387 sfrutta una race condition che potrebbe essere utilizzata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root VM worker Dataflow. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiedere diverse ore per ogni attacco. Me non sono a conoscenza di tentativi di sfruttamento.

Medio

CVE-2024-6387