Berikut ini penjelasan semua buletin keamanan yang terkait dengan Dataflow.
Untuk mendapatkan buletin keamanan terbaru, lakukan salah satu hal berikut:
- Tambahkan URL halaman ini terhadap pembaca feed Anda.
- Tambahkan URL feed langsung ke pembaca feed:
https://cloud.google.com/feeds/dataflow-security-bulletins.xml
GCP-2024-040
Dipublikasikan: 03-07-2024
Deskripsi | Keparahan | Catatan |
---|---|---|
Kerentanan eksekusi kode jarak jauh, CVE-2024-6387, baru-baru ini ditemukan di OpenSSH. Tugas Dataflow mungkin membuat VM yang menggunakan OS image dengan versi OpenSSH yang rentan terhadap CVE-2024-6387. Kerentanan memungkinkan penyerang untuk mendapatkan akses {i>root<i} ke VM pekerja Dataflow. VM pekerja Dataflow dengan layanan publik Alamat IP dan SSH yang terekspos ke internet harus diperlakukan dengan prioritas untuk mitigasi. Apa yang harus saya lakukan?Image VM Dataflow yang di-patch yang menyertakan OpenSSH yang telah diupdate yang tersedia. Sebaiknya lakukan langkah-langkah berikut untuk memeriksa proses pipeline Anda paparan, lalu menerapkan mitigasi yang dijelaskan, sebagaimana diperlukan. Jangan izinkan SSH ke VM pekerja DataflowTindakan ini adalah mitigasi paling efektif terhadap kerentanan SSH saat ini dan pada masa mendatang. Akses SSH ke VM pekerja Dataflow tidak diperlukan agar Dataflow dapat atau untuk men-debug sebagian besar masalah Dataflow. Gunakan perintah Google Cloud CLI berikut untuk menonaktifkan SSH untuk VM Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=NETWORK \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Untuk mengembalikan tindakan ini, gunakan
Mengupdate atau memulai ulang pipeline streaming yang berjalan lamaTindakan ini akan mengatasi kerentanan tertentu yang disebutkan dalam buletin ini. Semua tugas Dataflow yang dimulai setelah penggunaan PDT 22.00-07-2024 image VM yang di-patch. Untuk pipeline streaming yang diluncurkan sebelum tanggal ini, agar dapat menggunakan image VM yang di-patch, Anda harus memperbarui secara manual atau memulai ulang pekerjaan. Mengidentifikasi tugas Dataflow yang memiliki VM pekerja dengan alamat IP publikKecuali akses diblokir oleh firewall, port SSH Dataflow VM worker dengan alamat IP publik terbuka untuk internet. Untuk mendapatkan daftar tugas Dataflow yang memulai VM dengan IP eksternal alamat IP internal, gunakan perintah gcloud CLI berikut: gcloud --project PROJECT_ID compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" | sort -u Untuk memeriksa daftar semua VM dengan alamat IP eksternal di project Anda, gunakan perintah gcloud CLI berikut: gcloud --project PROJECT_ID compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Menonaktifkan IP publik di tugas Dataflow AndaLangkah ini memastikan bahwa port SSH tidak terbuka untuk internet publik. Konfigurasi ini membuat port tetap terbuka kecuali jika akses diblokir oleh firewall ke pengguna lain yang memiliki akses ke jaringan ini. Pipeline Dataflow yang tidak mengakses internet publik tidak memerlukan menggunakan alamat IP publik. Jika Anda mengidentifikasi suatu pipeline yang menggunakan alamat IP publik, tetapi tidak memerlukan akses internet publik, nonaktifkan alamat IP eksternal untuk pipeline ini. Untuk mengetahui petunjuknya, lihat Nonaktifkan alamat IP eksternal. Kerentanan apa yang sedang ditangani?Kerentanan, CVE-2024-6387 mengeksploitasi kondisi race yang dapat digunakan mendapatkan akses ke {i>shell<i} jarak jauh, yang memungkinkan penyerang untuk mendapatkan akses {i>root<i} ke VM pekerja Dataflow. Pada saat publikasi, eksploitasi merupakan dianggap sulit dan membutuhkan waktu beberapa jam untuk setiap komputer yang diserang. Rab tidak mengetahui adanya upaya eksploitasi. |
Sedang | CVE-2024-6387 |