Bulletins de sécurité

La section suivante décrit tous les bulletins de sécurité liés à Dataflow.

Pour recevoir les derniers bulletins de sécurité, effectuez l'une des opérations suivantes :

Ajoutez l'URL de cette page à votre lecteur de flux.
Ajoutez directement l'URL du flux à votre lecteur de flux : https://cloud.google.com/feeds/dataflow-security-bulletins.xml.

GCP-2024-040

Publié : 2024-07-03

Description Gravité Remarques

Description	Gravité	Remarques
Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment détectée dans OpenSSH. Les tâches Dataflow peuvent créer des VM qui utilisent une image de l'OS avec des versions d'OpenSSH vulnérables à CVE-2024-6387. Cette faille pourrait permettre aux pirates informatiques d'obtenir un accès root aux VM de nœuds de calcul Dataflow. Les VM de nœud de calcul Dataflow dotées d'adresses IP publiques et de SSH exposées à Internet doivent être traitées avec la priorité la plus élevée pour l'atténuation. Que dois-je faire ? Une image de VM Dataflow corrigée incluant une version OpenSSH mise à jour est disponible. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de vos pipelines, puis d'appliquer les mesures d'atténuation décrites, si nécessaire. Interdire SSH vers les VM de nœud de calcul Dataflow Cette action constitue l'atténuation la plus efficace des failles actuelles et futures dans SSH. L'accès SSH aux VM de nœud de calcul Dataflow n'est pas nécessaire pour que Dataflow fonctionne ou pour le débogage de la plupart des problèmes Dataflow. Exécutez la commande Google Cloud CLI suivante pour désactiver SSH pour les VM Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=`NETWORK` \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Pour annuler cette action, utilisez la commande `gcloud compute firewall-rules delete block-ssh-dataflow`. Mettre à jour ou redémarrer des pipelines de streaming de longue durée Cette action résout la faille spécifique mentionnée dans ce bulletin. Toutes les tâches Dataflow démarrées après le 04/07/2024 à 22h00 PDT utilisent l'image de VM corrigée. Pour les pipelines de streaming lancés avant cette date, pour utiliser l'image de VM corrigée, vous devez mettre à jour manuellement la tâche ou la redémarrer. Identifier les jobs Dataflow qui possèdent des VM de nœud de calcul avec des adresses IP publiques À moins que l'accès ne soit bloqué par des pare-feu, les ports SSH des VM de nœud de calcul Dataflow avec des adresses IP publiques sont ouverts à Internet. Pour obtenir la liste des tâches Dataflow qui ont démarré des VM avec des adresses IP externes, utilisez la commande gcloud CLI suivante: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" \| sort -u Pour inspecter la liste de toutes les VM avec des adresses IP externes de votre projet, exécutez la commande gcloud CLI suivante: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Désactiver les adresses IP publiques dans vos jobs Dataflow Cette étape garantit que les ports SSH ne sont pas ouverts à l'Internet public. Sauf si l'accès est bloqué par un pare-feu, cette configuration laisse les ports ouverts aux autres utilisateurs ayant accès à ce réseau. Les pipelines Dataflow qui n'accèdent pas à l'Internet public n'ont pas besoin d'utiliser d'adresses IP publiques. Si vous identifiez des pipelines qui utilisent des adresses IP publiques, mais qui n'ont pas besoin d'accéder à l'Internet public, désactivez les adresses IP externes pour ces pipelines. Pour obtenir des instructions, consultez la section Désactiver l'adresse IP externe. Quelles failles sont corrigées ? La faille CVE-2024-6387 exploite une condition de concurrence permettant d'accéder à une interface système distante, permettant ainsi aux pirates informatiques d'obtenir un accès root aux VM de nœuds de calcul Dataflow. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.	Moyenne	CVE-2024-6387

Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment détectée dans OpenSSH. Les tâches Dataflow peuvent créer des VM qui utilisent une image de l'OS avec des versions d'OpenSSH vulnérables à CVE-2024-6387. Cette faille pourrait permettre aux pirates informatiques d'obtenir un accès root aux VM de nœuds de calcul Dataflow. Les VM de nœud de calcul Dataflow dotées d'adresses IP publiques et de SSH exposées à Internet doivent être traitées avec la priorité la plus élevée pour l'atténuation.

Que dois-je faire ?

Une image de VM Dataflow corrigée incluant une version OpenSSH mise à jour est disponible. Nous vous recommandons de suivre les étapes ci-dessous pour vérifier l'exposition de vos pipelines, puis d'appliquer les mesures d'atténuation décrites, si nécessaire.

Interdire SSH vers les VM de nœud de calcul Dataflow

Cette action constitue l'atténuation la plus efficace des failles actuelles et futures dans SSH.

L'accès SSH aux VM de nœud de calcul Dataflow n'est pas nécessaire pour que Dataflow fonctionne ou pour le débogage de la plupart des problèmes Dataflow.

Exécutez la commande Google Cloud CLI suivante pour désactiver SSH pour les VM Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Pour annuler cette action, utilisez la commande gcloud compute firewall-rules delete block-ssh-dataflow.

Mettre à jour ou redémarrer des pipelines de streaming de longue durée

Cette action résout la faille spécifique mentionnée dans ce bulletin.

Toutes les tâches Dataflow démarrées après le 04/07/2024 à 22h00 PDT utilisent l'image de VM corrigée. Pour les pipelines de streaming lancés avant cette date, pour utiliser l'image de VM corrigée, vous devez mettre à jour manuellement la tâche ou la redémarrer.

Identifier les jobs Dataflow qui possèdent des VM de nœud de calcul avec des adresses IP publiques

À moins que l'accès ne soit bloqué par des pare-feu, les ports SSH des VM de nœud de calcul Dataflow avec des adresses IP publiques sont ouverts à Internet.

Pour obtenir la liste des tâches Dataflow qui ont démarré des VM avec des adresses IP externes, utilisez la commande gcloud CLI suivante:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Pour inspecter la liste de toutes les VM avec des adresses IP externes de votre projet, exécutez la commande gcloud CLI suivante:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Désactiver les adresses IP publiques dans vos jobs Dataflow

Cette étape garantit que les ports SSH ne sont pas ouverts à l'Internet public. Sauf si l'accès est bloqué par un pare-feu, cette configuration laisse les ports ouverts aux autres utilisateurs ayant accès à ce réseau.

Les pipelines Dataflow qui n'accèdent pas à l'Internet public n'ont pas besoin d'utiliser d'adresses IP publiques.

Si vous identifiez des pipelines qui utilisent des adresses IP publiques, mais qui n'ont pas besoin d'accéder à l'Internet public, désactivez les adresses IP externes pour ces pipelines. Pour obtenir des instructions, consultez la section Désactiver l'adresse IP externe.

Quelles failles sont corrigées ?

La faille CVE-2024-6387 exploite une condition de concurrence permettant d'accéder à une interface système distante, permettant ainsi aux pirates informatiques d'obtenir un accès root aux VM de nœuds de calcul Dataflow. Au moment de la publication, l'exploitation est considérée comme difficile et prend plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Moyenne

CVE-2024-6387