Halaman ini diterjemahkan oleh Cloud Translation API.

Buletin keamanan

Berikut adalah penjelasan semua buletin keamanan yang terkait dengan Dataflow.

Untuk mendapatkan buletin keamanan terbaru, lakukan salah satu hal berikut:

Tambahkan URL halaman ini terhadap pembaca feed Anda.
Tambahkan URL feed langsung ke pembaca feed Anda: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

Dipublikasikan: 03-07-2024

Deskripsi Keparahan Catatan

Deskripsi	Keparahan	Catatan
Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Tugas dataflow dapat membuat VM yang menggunakan image OS dengan versi OpenSSH yang rentan terhadap CVE-2024-6387. Kerentanan ini dapat memungkinkan penyerang mendapatkan akses root ke VM pekerja Dataflow. VM pekerja Dataflow dengan alamat IP publik dan SSH yang terekspos ke internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi. Apa yang harus saya lakukan? Image VM Dataflow yang di-patch yang menyertakan OpenSSH yang telah diupdate tersedia. Sebaiknya ikuti langkah-langkah berikut untuk memeriksa eksposur pipeline Anda, lalu terapkan mitigasi yang dijelaskan, sesuai kebutuhan. Tidak mengizinkan SSH ke VM pekerja Dataflow Tindakan ini adalah mitigasi yang paling efektif terhadap kerentanan saat ini dan mendatang di SSH. Akses SSH ke VM pekerja Dataflow tidak diperlukan agar Dataflow dapat berfungsi atau untuk men-debug sebagian besar masalah Dataflow. Gunakan perintah Google Cloud CLI berikut untuk menonaktifkan SSH untuk VM Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=`NETWORK` \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Untuk mengembalikan tindakan ini, gunakan perintah `gcloud compute firewall-rules delete block-ssh-dataflow`. Memperbarui atau memulai ulang pipeline streaming yang berjalan lama Tindakan ini mengatasi kerentanan spesifik yang disebutkan dalam buletin ini. Setiap tugas Dataflow yang dimulai setelah 04-07-2024 22.00 PDT menggunakan image VM yang di-patch. Untuk pipeline streaming yang diluncurkan sebelum tanggal ini, agar dapat menggunakan image VM yang di-patch, Anda harus mengupdate tugas secara manual atau memulai ulang tugas. Mengidentifikasi tugas Dataflow yang memiliki VM pekerja dengan alamat IP publik Kecuali jika akses diblokir oleh firewall, port SSH VM pekerja Dataflow dengan alamat IP publik terbuka untuk internet. Untuk mendapatkan daftar tugas Dataflow yang memulai VM dengan alamat IP eksternal, gunakan perintah gcloud CLI berikut: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" \| sort -u Untuk memeriksa daftar semua VM dengan alamat IP eksternal di project Anda, gunakan perintah gcloud CLI berikut: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Menonaktifkan IP publik di tugas Dataflow Langkah ini memastikan bahwa port SSH tidak terbuka untuk internet publik. Kecuali jika akses diblokir oleh firewall, konfigurasi ini akan membuat port terbuka untuk pengguna lain yang memiliki akses ke jaringan ini. Pipeline Dataflow yang tidak mengakses internet publik tidak perlu menggunakan alamat IP publik. Jika Anda mengidentifikasi pipeline yang menggunakan alamat IP publik, tetapi tidak memerlukan akses internet publik, nonaktifkan alamat IP eksternal untuk pipeline ini. Untuk mengetahui petunjuknya, lihat Menonaktifkan alamat IP eksternal. Kerentanan apa yang sedang ditangani? Kerentanan, CVE-2024-6387 mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke VM pekerja Dataflow. Pada saat publikasi, eksploitasi dipercaya sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.	Sedang	CVE-2024-6387

Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Tugas dataflow dapat membuat VM yang menggunakan image OS dengan versi OpenSSH yang rentan terhadap CVE-2024-6387. Kerentanan ini dapat memungkinkan penyerang mendapatkan akses root ke VM pekerja Dataflow. VM pekerja Dataflow dengan alamat IP publik dan SSH yang terekspos ke internet harus diperlakukan dengan prioritas tertinggi untuk mitigasi.

Apa yang harus saya lakukan?

Image VM Dataflow yang di-patch yang menyertakan OpenSSH yang telah diupdate tersedia. Sebaiknya ikuti langkah-langkah berikut untuk memeriksa eksposur pipeline Anda, lalu terapkan mitigasi yang dijelaskan, sesuai kebutuhan.

Tidak mengizinkan SSH ke VM pekerja Dataflow

Tindakan ini adalah mitigasi yang paling efektif terhadap kerentanan saat ini dan mendatang di SSH.

Akses SSH ke VM pekerja Dataflow tidak diperlukan agar Dataflow dapat berfungsi atau untuk men-debug sebagian besar masalah Dataflow.

Gunakan perintah Google Cloud CLI berikut untuk menonaktifkan SSH untuk VM Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Untuk mengembalikan tindakan ini, gunakan perintah gcloud compute firewall-rules delete block-ssh-dataflow.

Memperbarui atau memulai ulang pipeline streaming yang berjalan lama

Tindakan ini mengatasi kerentanan spesifik yang disebutkan dalam buletin ini.

Setiap tugas Dataflow yang dimulai setelah 04-07-2024 22.00 PDT menggunakan image VM yang di-patch. Untuk pipeline streaming yang diluncurkan sebelum tanggal ini, agar dapat menggunakan image VM yang di-patch, Anda harus mengupdate tugas secara manual atau memulai ulang tugas.

Mengidentifikasi tugas Dataflow yang memiliki VM pekerja dengan alamat IP publik

Kecuali jika akses diblokir oleh firewall, port SSH VM pekerja Dataflow dengan alamat IP publik terbuka untuk internet.

Untuk mendapatkan daftar tugas Dataflow yang memulai VM dengan alamat IP eksternal, gunakan perintah gcloud CLI berikut:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Untuk memeriksa daftar semua VM dengan alamat IP eksternal di project Anda, gunakan perintah gcloud CLI berikut:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Menonaktifkan IP publik di tugas Dataflow

Langkah ini memastikan bahwa port SSH tidak terbuka untuk internet publik. Kecuali jika akses diblokir oleh firewall, konfigurasi ini akan membuat port terbuka untuk pengguna lain yang memiliki akses ke jaringan ini.

Pipeline Dataflow yang tidak mengakses internet publik tidak perlu menggunakan alamat IP publik.

Jika Anda mengidentifikasi pipeline yang menggunakan alamat IP publik, tetapi tidak memerlukan akses internet publik, nonaktifkan alamat IP eksternal untuk pipeline ini. Untuk mengetahui petunjuknya, lihat Menonaktifkan alamat IP eksternal.

Kerentanan apa yang sedang ditangani?

Kerentanan, CVE-2024-6387 mengeksploitasi kondisi perlombaan yang dapat digunakan untuk mendapatkan akses ke shell jarak jauh, sehingga penyerang dapat memperoleh akses root ke VM pekerja Dataflow. Pada saat publikasi, eksploitasi dipercaya sulit dan memerlukan waktu beberapa jam per mesin yang diserang. Kami tidak mengetahui adanya upaya eksploitasi.

Sedang

CVE-2024-6387