Veja a seguir todos os boletins de segurança relacionados ao Dataflow.
Para receber os boletins de segurança mais recentes, siga um destes procedimentos:
- Adicione o URL desta página ao seu leitor de feeds
- Adicione o URL do feed diretamente ao seu leitor de feeds:
https://cloud.google.com/feeds/dataflow-security-bulletins.xml
GCP-2024-040
Publicado em: 03/07/2024
Descrição | Gravidade | Observações |
---|---|---|
Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberta recentemente no OpenSSH. Os jobs do Dataflow podem criar VMs que usam uma imagem do SO com versões do OpenSSH vulneráveis à CVE-2024-6387. A vulnerabilidade permite que invasores obtenham acesso raiz a VMs de worker do Dataflow. VMs de worker do Dataflow com SSH e endereços IP públicos expostos à Internet precisam ser tratados com a maior prioridade de mitigação. O que devo fazer?Uma imagem de VM do Dataflow com patch que inclui um OpenSSH atualizado será disponibilizada o mais rápido possível. Este boletim será atualizado quando as imagens com patches estiverem disponíveis. Recomendamos seguir estas etapas para verificar a exposição dos seus pipelines e aplicar as mitigações descritas, conforme necessário. Não permitir SSH para VMs de worker do DataflowEssa ação é a mitigação mais eficaz contra vulnerabilidades atuais e futuras no SSH. Acesso SSH para VMs de worker do Dataflow não é necessário para que o Dataflow funcione ou para depurar a maioria dos problemas do Dataflow. Use o seguinte comando da CLI do Google Cloud para desativar o SSH para VMs do Dataflow: gcloud compute firewall-rules create block-ssh-dataflow \ --network=NETWORK \ --action=DENY --priority=500 \ --rules=tcp:22 \ --target-tags=dataflow Depois que uma imagem corrigida for lançada, para reverter essa ação, use o
Atualizar ou reiniciar pipelines de streaming de longa duração após o lançamento de um patchEssa ação corrige a vulnerabilidade específica mencionada neste boletim. Todos os novos jobs em lote que você executar depois que o patch for lançado usam automaticamente a imagem de VM com patch. Nos casos de pipelines de streaming, para usar a imagem de VM com patch, é necessário fazer o update manual do job ou reiniciá-lo. Identificar quais jobs do Dataflow têm VMs de worker com endereços IP públicosA menos que o acesso seja bloqueado por firewalls, as portas SSH do Dataflow, VMs de worker com endereços IP públicos estão abertas à Internet. Para conferir uma lista de jobs do Dataflow que iniciaram VMs com IP externo, use o seguinte comando da CLI gcloud: gcloud --project PROJECT_ID compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \ AND description ~ 'Created for Dataflow job'" \ --format="list (description)" | sort -u Para inspecionar a lista de todas as VMs com endereços IP externos no projeto, use o seguinte comando CLI gcloud: gcloud --project PROJECT_ID compute instances list \ --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'" Desativar IPs públicos nos jobs do DataflowEssa etapa garante que as portas SSH não estejam abertas para a Internet pública. A menos que o acesso seja bloqueado por um firewall, essa configuração deixa as portas abertas para outros usuários com acesso a essa rede. Os pipelines do Dataflow que não acessam a Internet pública não precisam usar endereços IP públicos. Se você identificar pipelines que estejam usando endereços IP públicos, mas não precisam de acesso à Internet pública, desative os endereços IP externos para esses pipelines. Para mais instruções, consulte Desative o endereço IP externo. Quais vulnerabilidades estão sendo resolvidas?A vulnerabilidade CVE-2024-6387 explora uma disputa que pode ser usada para obter acesso a um shell remoto, permitindo que os invasores obtenham acesso raiz a VMs de worker do Dataflow. No momento da publicação, a exploração é considerada difícil e leva várias horas por máquina sendo invadida. Não estamos cientes de tentativas de exploração. |
Médio | CVE-2024-6387 |