Questa pagina è stata tradotta dall'API Cloud Translation.

Bollettini sulla sicurezza

Di seguito vengono descritti tutti i bollettini sulla sicurezza relativi a: e Dataflow.

Per ricevere i bollettini sulla sicurezza più recenti, procedi in uno dei seguenti modi:

Aggiungi l'URL di questa pagina al tuo lettore di feed.
Aggiungi l'URL del feed direttamente al lettore di feed: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

Pubblicato: 03/07/2024

Descrizione Gravità Note

Descrizione	Gravità	Note
Una vulnerabilità di esecuzione di codice remoto CVE-2024-6387, è stato rilevato di recente in OpenSSH. I job Dataflow possono creare VM utilizzare un'immagine sistema operativo con versioni di OpenSSH vulnerabili a CVE-2024-6387. La vulnerabilità potrebbe consentire a utenti malintenzionati di ottenere l'accesso root a VM worker Dataflow. VM worker Dataflow con pubblico Gli indirizzi IP e SSH esposti a internet devono essere trattati e la priorità della mitigazione. . Che cosa devo fare? Un'immagine VM Dataflow con patch che include un OpenSSH aggiornato disponibili. Ti consigliamo di svolgere i seguenti passaggi per controllare della pipeline dell'esposizione diretta e quindi applicando le mitigazioni descritte, se necessario. Non consentire SSH alle VM worker Dataflow Questa azione è la mitigazione più efficace contro le vulnerabilità attuali e future in SSH. Accesso SSH alle VM worker Dataflow non è richiesto o per il debug della maggior parte dei problemi di Dataflow. Utilizza il seguente comando di Google Cloud CLI per disabilitare SSH per le VM Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=`NETWORK` \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Per annullare questa azione, utilizza il `gcloud compute firewall-rules delete block-ssh-dataflow` . Aggiorna o riavvia le pipeline di flusso a lunga esecuzione Questa azione risolve la vulnerabilità specifica menzionata in questo bollettino. Qualsiasi job Dataflow avviato dopo il 4/07/2024 alle 22:00 PDT all'immagine VM con patch. Per le pipeline di flusso avviate prima di questa data, per utilizzare l'immagine VM con patch, devi aggiornare manualmente il job o riavviarlo. Identificare quali job Dataflow hanno VM worker con indirizzi IP pubblici A meno che l'accesso non sia bloccato dai firewall, le porte SSH di Dataflow le VM worker con indirizzi IP pubblici sono aperte a internet. per ottenere un elenco di job Dataflow che hanno avviato VM con IP esterno. utilizza il seguente comando gcloud CLI: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" \| sort -u Per esaminare l'elenco di tutte le VM con indirizzi IP esterni nel tuo progetto, usa il seguente comando gcloud CLI: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Disabilita gli IP pubblici nei tuoi job Dataflow Questo passaggio garantisce che le porte SSH non siano aperte alla rete internet pubblica. Questa configurazione lascia aperte le porte a meno che l'accesso non sia bloccato da un firewall ad altri utenti con accesso a questa rete. Le pipeline Dataflow che non accedono alla rete internet pubblica non richiedono per utilizzare gli indirizzi IP pubblici. Se identifichi pipeline che utilizzano indirizzi IP pubblici, ma non richiedono l'accesso pubblico a internet, disattiva gli indirizzi IP esterni per queste pipeline. Per istruzioni, vedi Disattiva l'indirizzo IP esterno. Quali vulnerabilità vengono affrontate? La vulnerabilità CVE-2024-6387 sfrutta una race condition che potrebbe essere utilizzata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root VM worker Dataflow. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiedere diverse ore per ogni attacco. Me non sono a conoscenza di tentativi di sfruttamento.	Medio	CVE-2024-6387

Una vulnerabilità di esecuzione di codice remoto CVE-2024-6387, è stato rilevato di recente in OpenSSH. I job Dataflow possono creare VM utilizzare un'immagine sistema operativo con versioni di OpenSSH vulnerabili a CVE-2024-6387. La vulnerabilità potrebbe consentire a utenti malintenzionati di ottenere l'accesso root a VM worker Dataflow. VM worker Dataflow con pubblico Gli indirizzi IP e SSH esposti a internet devono essere trattati e la priorità della mitigazione. .

Che cosa devo fare?

Un'immagine VM Dataflow con patch che include un OpenSSH aggiornato disponibili. Ti consigliamo di svolgere i seguenti passaggi per controllare della pipeline dell'esposizione diretta e quindi applicando le mitigazioni descritte, se necessario.

Non consentire SSH alle VM worker Dataflow

Questa azione è la mitigazione più efficace contro le vulnerabilità attuali e future in SSH.

Accesso SSH alle VM worker Dataflow non è richiesto o per il debug della maggior parte dei problemi di Dataflow.

Utilizza il seguente comando di Google Cloud CLI per disabilitare SSH per le VM Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Per annullare questa azione, utilizza il gcloud compute firewall-rules delete block-ssh-dataflow .

Aggiorna o riavvia le pipeline di flusso a lunga esecuzione

Questa azione risolve la vulnerabilità specifica menzionata in questo bollettino.

Qualsiasi job Dataflow avviato dopo il 4/07/2024 alle 22:00 PDT all'immagine VM con patch. Per le pipeline di flusso avviate prima di questa data, per utilizzare l'immagine VM con patch, devi aggiornare manualmente il job o riavviarlo.

Identificare quali job Dataflow hanno VM worker con indirizzi IP pubblici

A meno che l'accesso non sia bloccato dai firewall, le porte SSH di Dataflow le VM worker con indirizzi IP pubblici sono aperte a internet.

per ottenere un elenco di job Dataflow che hanno avviato VM con IP esterno. utilizza il seguente comando gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Per esaminare l'elenco di tutte le VM con indirizzi IP esterni nel tuo progetto, usa il seguente comando gcloud CLI:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Disabilita gli IP pubblici nei tuoi job Dataflow

Questo passaggio garantisce che le porte SSH non siano aperte alla rete internet pubblica. Questa configurazione lascia aperte le porte a meno che l'accesso non sia bloccato da un firewall ad altri utenti con accesso a questa rete.

Le pipeline Dataflow che non accedono alla rete internet pubblica non richiedono per utilizzare gli indirizzi IP pubblici.

Se identifichi pipeline che utilizzano indirizzi IP pubblici, ma non richiedono l'accesso pubblico a internet, disattiva gli indirizzi IP esterni per queste pipeline. Per istruzioni, vedi Disattiva l'indirizzo IP esterno.

Quali vulnerabilità vengono affrontate?

La vulnerabilità CVE-2024-6387 sfrutta una race condition che potrebbe essere utilizzata per ottenere l’accesso a una shell remota, consentendo agli aggressori di ottenere l’accesso root VM worker Dataflow. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiedere diverse ore per ogni attacco. Me non sono a conoscenza di tentativi di sfruttamento.

Medio

CVE-2024-6387