Esta página foi traduzida pela API Cloud Translation.

Boletins de segurança

A descrição seguinte descreve todos os boletins de segurança relacionados com o Dataflow.

Para receber os boletins de segurança mais recentes, faça uma das seguintes ações:

Adicione o URL desta página ao seu leitor de feeds.
Adicione o URL do feed diretamente ao seu leitor de feeds: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

Publicado: 03/07/2024

Descrição Gravidade Notas

Descrição	Gravidade	Notas
Foi descoberta recentemente uma vulnerabilidade de execução remota de código, CVE-2024-6387, no OpenSSH. As tarefas do Dataflow podem criar VMs que usam uma imagem do SO com versões do OpenSSH vulneráveis a CVE-2024-6387. A vulnerabilidade pode permitir que os atacantes obtenham acesso raiz às VMs de trabalho do Dataflow. As VMs de trabalho do Dataflow com endereços IP públicos e SSH expostos à Internet devem ser tratadas com a prioridade mais elevada para mitigação. O que devo fazer? Está disponível uma imagem de VM do Dataflow corrigida que inclui um OpenSSH atualizado. Recomendamos que siga os passos abaixo para verificar a exposição dos seus pipelines e, em seguida, aplique as mitigações descritas, conforme necessário. Não permitir SSH para VMs de trabalho do Dataflow Esta ação é a mitigação mais eficaz contra vulnerabilidades atuais e futuras no SSH. O acesso SSH às VMs do trabalhador do Dataflow não é necessário para que o Dataflow funcione nem para depurar a maioria dos problemas do Dataflow. Use o seguinte comando da CLI Google Cloud para desativar o SSH para VMs do Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=`NETWORK` \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Para reverter esta ação, use o comando `gcloud compute firewall-rules delete block-ssh-dataflow`. Atualize ou reinicie pipelines de streaming de longa duração Esta ação resolve a vulnerabilidade específica mencionada neste boletim. Todas as tarefas do Dataflow iniciadas após 04/07/2024 às 22:00 (Hora do Pacífico) usam a imagem de VM corrigida. Para pipelines de streaming iniciados antes desta data, para usar a imagem de VM corrigida, tem de atualizar manualmente a tarefa ou reiniciá-la. Identifique as tarefas do Dataflow que têm VMs de trabalho com endereços IP públicos A menos que o acesso seja bloqueado por firewalls, as portas SSH das VMs de trabalho do Dataflow com endereços IP públicos estão abertas à Internet. Para obter uma lista de tarefas do Dataflow que iniciaram VMs com endereços IP externos, use o seguinte comando da CLI gcloud: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" \| sort -u Para inspecionar a lista de todas as VMs com endereços IP externos no seu projeto, use o seguinte comando da CLI gcloud: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Desative os IPs públicos nas suas tarefas do Dataflow Este passo garante que as portas SSH não estão abertas à Internet pública. A menos que o acesso seja bloqueado por uma firewall, esta configuração deixa as portas abertas a outros utilizadores com acesso a esta rede. Os pipelines do Dataflow que não acedem à Internet pública não precisam de usar endereços IP públicos. Se identificar pipelines que estão a usar endereços IP públicos, mas não precisam de acesso à Internet pública, desative os endereços IP externos para estes pipelines. Para ver instruções, consulte o artigo Desative o endereço IP externo. Que vulnerabilidades estão a ser abordadas? A vulnerabilidade, CVE-2024-6387, explora uma condição de corrida que pode ser usada para obter acesso a uma shell remota, o que permite aos atacantes obter acesso de raiz às VMs de trabalho do Dataflow. No momento da publicação, acredita-se que a exploração é difícil e demora várias horas por máquina atacada. Não temos conhecimento de tentativas de exploração.	Médio	CVE-2024-6387

Foi descoberta recentemente uma vulnerabilidade de execução remota de código, CVE-2024-6387, no OpenSSH. As tarefas do Dataflow podem criar VMs que usam uma imagem do SO com versões do OpenSSH vulneráveis a CVE-2024-6387. A vulnerabilidade pode permitir que os atacantes obtenham acesso raiz às VMs de trabalho do Dataflow. As VMs de trabalho do Dataflow com endereços IP públicos e SSH expostos à Internet devem ser tratadas com a prioridade mais elevada para mitigação.

O que devo fazer?

Está disponível uma imagem de VM do Dataflow corrigida que inclui um OpenSSH atualizado. Recomendamos que siga os passos abaixo para verificar a exposição dos seus pipelines e, em seguida, aplique as mitigações descritas, conforme necessário.

Não permitir SSH para VMs de trabalho do Dataflow

Esta ação é a mitigação mais eficaz contra vulnerabilidades atuais e futuras no SSH.

O acesso SSH às VMs do trabalhador do Dataflow não é necessário para que o Dataflow funcione nem para depurar a maioria dos problemas do Dataflow.

Use o seguinte comando da CLI Google Cloud para desativar o SSH para VMs do Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Para reverter esta ação, use o comando gcloud compute firewall-rules delete block-ssh-dataflow.

Atualize ou reinicie pipelines de streaming de longa duração

Esta ação resolve a vulnerabilidade específica mencionada neste boletim.

Todas as tarefas do Dataflow iniciadas após 04/07/2024 às 22:00 (Hora do Pacífico) usam a imagem de VM corrigida. Para pipelines de streaming iniciados antes desta data, para usar a imagem de VM corrigida, tem de atualizar manualmente a tarefa ou reiniciá-la.

Identifique as tarefas do Dataflow que têm VMs de trabalho com endereços IP públicos

A menos que o acesso seja bloqueado por firewalls, as portas SSH das VMs de trabalho do Dataflow com endereços IP públicos estão abertas à Internet.

Para obter uma lista de tarefas do Dataflow que iniciaram VMs com endereços IP externos, use o seguinte comando da CLI gcloud:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Para inspecionar a lista de todas as VMs com endereços IP externos no seu projeto, use o seguinte comando da CLI gcloud:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Desative os IPs públicos nas suas tarefas do Dataflow

Este passo garante que as portas SSH não estão abertas à Internet pública. A menos que o acesso seja bloqueado por uma firewall, esta configuração deixa as portas abertas a outros utilizadores com acesso a esta rede.

Os pipelines do Dataflow que não acedem à Internet pública não precisam de usar endereços IP públicos.

Se identificar pipelines que estão a usar endereços IP públicos, mas não precisam de acesso à Internet pública, desative os endereços IP externos para estes pipelines. Para ver instruções, consulte o artigo Desative o endereço IP externo.

Que vulnerabilidades estão a ser abordadas?

A vulnerabilidade, CVE-2024-6387, explora uma condição de corrida que pode ser usada para obter acesso a uma shell remota, o que permite aos atacantes obter acesso de raiz às VMs de trabalho do Dataflow. No momento da publicação, acredita-se que a exploração é difícil e demora várias horas por máquina atacada. Não temos conhecimento de tentativas de exploração.

Médio

CVE-2024-6387

Boletins de segurança Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.