Sicherheitsbulletins

Im Folgenden werden alle Sicherheitsbulletins im Zusammenhang mit Dataflow beschrieben.

Führen Sie einen der folgenden Schritte aus, um die neuesten Sicherheitsbulletins zu erhalten:

Fügen Sie Ihrem Feedreader die URL dieser Seite hinzu.
Fügen Sie die Feed-URL direkt Ihrem Feed-Reader hinzu: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

Veröffentlicht: 07.03.2024

Beschreibung Schweregrad Hinweise

Beschreibung	Schweregrad	Hinweise
Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Dataflow-Jobs können VMs erstellen, die ein Betriebssystem-Image mit Versionen von OpenSSH verwenden, die anfällig für CVE-2024-6387 sind. Die Sicherheitslücke kann Angreifern ermöglichen, Root-Zugriff auf Dataflow-Worker-VMs zu erhalten. Dataflow-Worker-VMs mit öffentlichen IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden. Wie gehe ich am besten vor? Ein gepatchtes Dataflow-VM-Image, das ein aktualisiertes OpenSSH enthält, ist verfügbar. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihrer Pipelines zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden. SSH-Verbindung zu Dataflow-Worker-VMs nicht zulassen Diese Aktion ist die effektivste Abhilfe für aktuelle und zukünftige Sicherheitslücken in SSH. SSH-Zugriff auf Dataflow-Worker-VMs ist nicht erforderlich, damit Dataflow funktioniert oder die meisten Dataflow-Probleme beheben kann. Verwenden Sie den folgenden Befehl der Google Cloud CLI, um SSH für Dataflow-VMs zu deaktivieren: gcloud compute firewall-rules create block-ssh-dataflow \ --network=`NETWORK` \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Verwenden Sie den Befehl `gcloud compute firewall-rules delete block-ssh-dataflow`, um diese Aktion rückgängig zu machen. Lange laufende Streamingpipelines aktualisieren oder neu starten Mit dieser Aktion wird die in diesem Bulletin erwähnte Sicherheitslücke behoben. Alle Dataflow-Jobs, die nach dem 04.07.2024 um 22:00 Uhr PDT gestartet wurden, verwenden das gepatchte VM-Image. Bei Streamingpipelines, die vor diesem Datum gestartet wurden, müssen Sie zur Verwendung des gepatchten VM-Images entweder den Job manuell aktualisieren oder den Job neu starten. Ermitteln, welche Dataflow-Jobs Worker-VMs mit öffentlichen IP-Adressen haben Sofern der Zugriff nicht durch Firewalls blockiert wird, sind die SSH-Ports der Dataflow mit öffentlichen IP-Adressen für das Internet geöffnet. Verwenden Sie den folgenden gcloud CLI-Befehl, um eine Liste der Dataflow-Jobs abzurufen, die VMs mit externen IP-Adressen gestartet haben: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" \| sort -u Verwenden Sie den folgenden gcloud CLI-Befehl, um die Liste aller VMs mit externen IP-Adressen in Ihrem Projekt zu prüfen: gcloud --project `PROJECT_ID` compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Öffentliche IP-Adressen in Dataflow-Jobs deaktivieren Mit diesem Schritt wird sichergestellt, dass die SSH-Ports nicht für das öffentliche Internet geöffnet sind. Sofern der Zugriff nicht von einer Firewall blockiert wird, lässt diese Konfiguration die Ports für andere Nutzer mit Zugriff auf dieses Netzwerk offen. Dataflow-Pipelines, die nicht auf das öffentliche Internet zugreifen, müssen keine öffentlichen IP-Adressen verwenden. Wenn Sie Pipelines identifizieren, die öffentliche IP-Adressen verwenden, aber keinen öffentlichen Internetzugriff benötigen, deaktivieren Sie externe IP-Adressen für diese Pipelines. Eine Anleitung finden Sie unter Externe IP-Adresse deaktivieren. Welche Sicherheitslücken werden behoben? Die Sicherheitslücke CVE-2024-6387 nutzt eine Race-Bedingung, die verwendet werden könnte, um Zugriff auf eine Remote-Shell zu erhalten, sodass Angreifer Root-Zugriff auf Dataflow-Worker-VMs erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Wir kennen keine Ausbeutungsversuche.	Mittel	CVE-2024-6387

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Dataflow-Jobs können VMs erstellen, die ein Betriebssystem-Image mit Versionen von OpenSSH verwenden, die anfällig für CVE-2024-6387 sind. Die Sicherheitslücke kann Angreifern ermöglichen, Root-Zugriff auf Dataflow-Worker-VMs zu erhalten. Dataflow-Worker-VMs mit öffentlichen IP-Adressen und SSH, die im Internet verfügbar sind, sollten zur Risikominderung mit der höchsten Priorität behandelt werden.

Wie gehe ich am besten vor?

Ein gepatchtes Dataflow-VM-Image, das ein aktualisiertes OpenSSH enthält, ist verfügbar. Wir empfehlen, die folgenden Schritte auszuführen, um die Freigabe Ihrer Pipelines zu prüfen und dann bei Bedarf die beschriebenen Maßnahmen zur Risikominderung anzuwenden.

SSH-Verbindung zu Dataflow-Worker-VMs nicht zulassen

Diese Aktion ist die effektivste Abhilfe für aktuelle und zukünftige Sicherheitslücken in SSH.

SSH-Zugriff auf Dataflow-Worker-VMs ist nicht erforderlich, damit Dataflow funktioniert oder die meisten Dataflow-Probleme beheben kann.

Verwenden Sie den folgenden Befehl der Google Cloud CLI, um SSH für Dataflow-VMs zu deaktivieren:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Verwenden Sie den Befehl gcloud compute firewall-rules delete block-ssh-dataflow, um diese Aktion rückgängig zu machen.

Lange laufende Streamingpipelines aktualisieren oder neu starten

Mit dieser Aktion wird die in diesem Bulletin erwähnte Sicherheitslücke behoben.

Alle Dataflow-Jobs, die nach dem 04.07.2024 um 22:00 Uhr PDT gestartet wurden, verwenden das gepatchte VM-Image. Bei Streamingpipelines, die vor diesem Datum gestartet wurden, müssen Sie zur Verwendung des gepatchten VM-Images entweder den Job manuell aktualisieren oder den Job neu starten.

Ermitteln, welche Dataflow-Jobs Worker-VMs mit öffentlichen IP-Adressen haben

Sofern der Zugriff nicht durch Firewalls blockiert wird, sind die SSH-Ports der Dataflow mit öffentlichen IP-Adressen für das Internet geöffnet.

Verwenden Sie den folgenden gcloud CLI-Befehl, um eine Liste der Dataflow-Jobs abzurufen, die VMs mit externen IP-Adressen gestartet haben:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Verwenden Sie den folgenden gcloud CLI-Befehl, um die Liste aller VMs mit externen IP-Adressen in Ihrem Projekt zu prüfen:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Öffentliche IP-Adressen in Dataflow-Jobs deaktivieren

Mit diesem Schritt wird sichergestellt, dass die SSH-Ports nicht für das öffentliche Internet geöffnet sind. Sofern der Zugriff nicht von einer Firewall blockiert wird, lässt diese Konfiguration die Ports für andere Nutzer mit Zugriff auf dieses Netzwerk offen.

Dataflow-Pipelines, die nicht auf das öffentliche Internet zugreifen, müssen keine öffentlichen IP-Adressen verwenden.

Wenn Sie Pipelines identifizieren, die öffentliche IP-Adressen verwenden, aber keinen öffentlichen Internetzugriff benötigen, deaktivieren Sie externe IP-Adressen für diese Pipelines. Eine Anleitung finden Sie unter Externe IP-Adresse deaktivieren.

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücke CVE-2024-6387 nutzt eine Race-Bedingung, die verwendet werden könnte, um Zugriff auf eine Remote-Shell zu erhalten, sodass Angreifer Root-Zugriff auf Dataflow-Worker-VMs erhalten. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Wir kennen keine Ausbeutungsversuche.

Mittel

CVE-2024-6387