Boletins de segurança

Veja a seguir todos os boletins de segurança relacionados ao Dataflow.

Para receber os boletins de segurança mais recentes, siga um destes procedimentos:

  • Adicione o URL desta página ao seu leitor de feeds
  • Adicione o URL do feed diretamente ao seu leitor de feeds: https://cloud.google.com/feeds/dataflow-security-bulletins.xml

GCP-2024-040

Publicado em: 03/07/2024

Descrição Gravidade Observações

Uma vulnerabilidade de execução remota de código, CVE-2024-6387, foi descoberta recentemente no OpenSSH. Os jobs do Dataflow podem criar VMs que usam uma imagem do SO com versões do OpenSSH vulneráveis à CVE-2024-6387. A vulnerabilidade permite que invasores obtenham acesso raiz a VMs de worker do Dataflow. VMs de worker do Dataflow com SSH e endereços IP públicos expostos à Internet precisam ser tratados com a maior prioridade de mitigação.

O que devo fazer?

Uma imagem da VM do Dataflow com patch que inclui um OpenSSH atualizado está disponível. Recomendamos seguir estas etapas para verificar a exposição dos seus pipelines e aplicar as mitigações descritas, conforme necessário.

Não permitir SSH para VMs de worker do Dataflow

Essa ação é a mitigação mais eficaz contra vulnerabilidades atuais e futuras no SSH.

Acesso SSH para VMs de worker do Dataflow não é necessário para que o Dataflow funcione ou para depurar a maioria dos problemas do Dataflow.

Use o seguinte comando da CLI do Google Cloud para desativar o SSH para VMs do Dataflow:

gcloud compute firewall-rules create block-ssh-dataflow \
   --network=NETWORK \
   --action=DENY --priority=500 \
   --rules=tcp:22 \
   --target-tags=dataflow

Para reverter esta ação, use o comando gcloud compute firewall-rules delete block-ssh-dataflow.

Atualizar ou reiniciar pipelines de streaming de longa duração

Essa ação corrige a vulnerabilidade específica mencionada neste boletim.

Todos os jobs do Dataflow iniciados após as 22h (horário do Pacífico) de 04/07/2024 usam a imagem da VM com patch. Para pipelines de streaming iniciados antes dessa data, para usar a imagem de VM com patch, você precisa atualizar manualmente o job ou reiniciá-lo.

Identificar quais jobs do Dataflow têm VMs de worker com endereços IP públicos

A menos que o acesso seja bloqueado por firewalls, as portas SSH do Dataflow, VMs de worker com endereços IP públicos estão abertas à Internet.

Para conferir uma lista de jobs do Dataflow que iniciaram VMs com IP externo, use o seguinte comando da CLI gcloud:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING' \
              AND description ~ 'Created for Dataflow job'" \
   --format="list (description)" | sort -u

Para inspecionar a lista de todas as VMs com endereços IP externos no projeto, use o seguinte comando CLI gcloud:

gcloud --project PROJECT_ID compute instances list \
   --filter "EXTERNAL_IP!='' AND STATUS='RUNNING'"

Desativar IPs públicos nos jobs do Dataflow

Essa etapa garante que as portas SSH não estejam abertas para a Internet pública. A menos que o acesso seja bloqueado por um firewall, essa configuração deixa as portas abertas para outros usuários com acesso a essa rede.

Os pipelines do Dataflow que não acessam a Internet pública não precisam usar endereços IP públicos.

Se você identificar pipelines que estejam usando endereços IP públicos, mas não precisam de acesso à Internet pública, desative os endereços IP externos para esses pipelines. Para mais instruções, consulte Desative o endereço IP externo.

Quais vulnerabilidades estão sendo resolvidas?

A vulnerabilidade CVE-2024-6387 explora uma disputa que pode ser usada para obter acesso a um shell remoto, permitindo que os invasores obtenham acesso raiz a VMs de worker do Dataflow. No momento da publicação, a exploração é considerada difícil e leva várias horas por máquina sendo invadida. Não estamos cientes de tentativas de exploração.

Média CVE-2024-6387