Veja a seguir todos os boletins de segurança relacionados ao Dataflow.
Para receber os boletins de segurança mais recentes, siga um destes procedimentos:
- Adicione o URL desta página ao seu leitor de feeds
- Adicione o URL do feed diretamente ao seu leitor de feeds:
https://cloud.google.com/feeds/dataflow-security-bulletins.xml
GCP-2024-040
Publicado em: 03/07/2024
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberta recentemente no OpenSSH. Os jobs do Dataflow podem criar VMs que usam uma imagem do SO com versões do OpenSSH vulneráveis à CVE-2024-6387. A vulnerabilidade permite que invasores obtenham acesso raiz a VMs de worker do Dataflow. VMs de worker do Dataflow com SSH e endereços IP públicos expostos à Internet precisam ser tratados com a maior prioridade de mitigação. O que devo fazer?Uma imagem da VM do Dataflow com patch que inclui um OpenSSH atualizado está disponível. Recomendamos seguir estas etapas para verificar a exposição dos seus pipelines e aplicar as mitigações descritas, conforme necessário. Não permitir SSH para VMs de worker do DataflowEssa ação é a mitigação mais eficaz contra vulnerabilidades atuais e futuras no SSH. Acesso SSH para VMs de worker do Dataflow não é necessário para que o Dataflow funcione ou para depurar a maioria dos problemas do Dataflow. Use o seguinte comando da CLI do Google Cloud para desativar o SSH para VMs do Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=NETWORK \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Para reverter esta ação, use o
comando
Atualizar ou reiniciar pipelines de streaming de longa duraçãoEssa ação corrige a vulnerabilidade específica mencionada neste boletim. Todos os jobs do Dataflow iniciados após as 22h (horário do Pacífico) de 04/07/2024 usam a imagem da VM com patch. Para pipelines de streaming iniciados antes dessa data, para usar a imagem de VM com patch, você precisa atualizar manualmente o job ou reiniciá-lo. Identificar quais jobs do Dataflow têm VMs de worker com endereços IP públicosA menos que o acesso seja bloqueado por firewalls, as portas SSH do Dataflow, VMs de worker com endereços IP públicos estão abertas à Internet. Para conferir uma lista de jobs do Dataflow que iniciaram VMs com IP externo, use o seguinte comando da CLI gcloud: gcloud --project PROJECT_ID compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" | sort -u Para inspecionar a lista de todas as VMs com endereços IP externos no projeto, use o seguinte comando CLI gcloud: gcloud --project PROJECT_ID compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Desativar IPs públicos nos jobs do DataflowEssa etapa garante que as portas SSH não estejam abertas para a Internet pública. A menos que o acesso seja bloqueado por um firewall, essa configuração deixa as portas abertas para outros usuários com acesso a essa rede. Os pipelines do Dataflow que não acessam a Internet pública não precisam usar endereços IP públicos. Se você identificar pipelines que estejam usando endereços IP públicos, mas não precisam de acesso à Internet pública, desative os endereços IP externos para esses pipelines. Para mais instruções, consulte Desative o endereço IP externo. Quais vulnerabilidades estão sendo resolvidas?A vulnerabilidade CVE-2024-6387 explora uma disputa que pode ser usada para obter acesso a um shell remoto, permitindo que os invasores obtenham acesso raiz a VMs de worker do Dataflow. No momento da publicação, a exploração é considerada difícil e leva várias horas por máquina sendo invadida. Não estamos cientes de tentativas de exploração. |
Médio | CVE-2024-6387 |