Sicherheitsbulletins

Gemäß dem VMware-Sicherheitshinweis VMSA-2024-0020 wurden mehrere Sicherheitslücken in VMware NSX verantwortungsvoll an VMware gemeldet.

Die Version NSX-T, die in Ihrer VMware Engine-Umgebung ausgeführt wird, ist nicht von CVE-2024-38815, CVE-2024-38818 oder CVE-2024-38817 betroffen.

What should I do?

Da VMware Engine-Cluster nicht von dieser Sicherheitslücke betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

Gemäß dem VMware-Sicherheitshinweis VMSA-2024-0021 wurde VMware privat eine Sicherheitslücke bei authentifizierten SQL-Injection in VMware HCX gemeldet.

Wir haben die von VMware genehmigte Abhilfemaßnahme für diese Sicherheitslücke angewendet. Mit dieser Korrektur wird eine Sicherheitslücke behoben, die in CVE-2024-38814 beschrieben wurde. Die Image-Versionen, die in Ihrer privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Änderungen hinweisen. Es wurden geeignete Maßnahmen zur Schadensbegrenzung installiert und Ihre Umgebung ist gegen diese Sicherheitslücke gesichert.

What should I do?

Wir empfehlen ein Upgrade auf VMware HCX Version 4.9.2.

• VMSA-2024-0021
• CVE-2024-38814

Migrate to Containers for Windows Version 1.1.0 bis 1.2.2 hat eine lokale m2cuser mit Administratorberechtigungen erstellt. Dies stellte ein Sicherheitsrisiko dar, wenn die Befehle analyze oder generate vom Nutzer unterbrochen wurden oder aufgrund eines internen Fehlers die Aktion zum Löschen des lokalen Nutzers m2cuser übersprungen wurde.

What should I do?

Die folgenden Versionen der Migrate to Containers-Befehlszeile für Windows wurden mit Code aktualisiert, um diese Sicherheitslücke zu schließen. Wir empfehlen Ihnen, die Migrate to Containers-Befehlszeile manuell auf die folgende Version oder höher zu aktualisieren:

• Migrate to Containers-Befehlszeile für Windows 1.2.3, veröffentlicht am 8. Oktober 2024 – Versionshinweise zur Migrate to Containers-Befehlszeile | Google Cloud

Welche Sicherheitslücken werden behoben?

Über die Sicherheitslücke CVE-2024-9858 können Angreifer über den lokalen Administrator, der von der Migrate to Containers-Software erstellt wurde, Administratorzugriff auf betroffene Windows-Computer erhalten.

Aktualisierung vom 15. Oktober 2024:Patchversionen für GDC (VMware) wurden hinzugefügt. Die GKE- und GDC-Schweregrade (VMware) wurden aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-45016

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

In dem CUPS-Drucksystem, das von einigen Linux-Distributionen verwendet wird, wurde eine Sicherheitslückenkette (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177), die zu einer Remote-Codeausführung führen konnte, entdeckt. Ein Angreifer kann diese Sicherheitslücke ausnutzen, wenn die CUPS-Dienste UDP-Port 631 überwachen und eine Verbindung zu ihr herstellen kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

• CVE-2024-47076
• CVE-2024-47175
• CVE-2024-47176
• CVE-2024-47177

Eine Sicherheitslücke beim HTTP-Anfrage-Schmuggel in Looker ermöglichte es einem nicht autorisierten Angreifer, HTTP-Antworten zu erfassen, die für rechtmäßige Nutzer bestimmt waren.

Es gibt zwei Looker-Versionen, die von Looker gehostet werden:

• Looker (Google Cloud Core) wurde als anfällig eingestuft. Dieses Problem wurde bereits behoben und unsere Untersuchung hat keine Anzeichen von Missbrauch ergeben.
• Das ursprüngliche Looker war für dieses Problem nicht anfällig.

Kundengehostete Looker-Instanzen sind angreifbar und müssen auf eine der folgenden Versionen aktualisiert werden.

Diese Sicherheitslücke wurde in allen unterstützten Versionen von Looker behoben, die vom Kunden gehostet werden und auf der Looker-Downloadseite verfügbar sind.

What should I do?

• Bei allen von Looker gehosteten Instanzen, einschließlich Looker (Google Cloud Core)-Instanzen, müssen Sie nichts weiter unternehmen.
• Aktualisieren Sie von Kunden gehostete Looker-Instanzen so schnell wie möglich auf die neueste unterstützte Looker-Version. Die folgenden Versionen wurden aktualisiert, um diese Sicherheitslücke zu schließen. Sie können diese Versionen auf der Downloadseite von Looker herunterladen:
  • 23.12 –> 23.12.123+
  • 23.18 -> 23.18.117+
  • 24.0 -> 24.0.92+
  • 24.6 –> 24.6.77+
  • 24,8 -> 24.8.66+
  • 24.10 –> 24.10.78+
  • 24.12 –> 24.12.56+
  • 24.14 -> 24.14.37 und höher

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücke CVE-2024-8912 ermöglicht es einem Angreifer, manipulierte HTTP-Anfrageheader an Looker zu senden, was möglicherweise zum Abfangen von HTTP-Antworten führt, die für andere Nutzer bestimmt sind.

Diese Antworten können vertrauliche Informationen enthalten.

Diese Sicherheitslücke kann nur bei bestimmten Konfigurationen ausgenutzt werden.

In Kubernetes-Clustern mit Windows-Knoten wurde ein Sicherheitsproblem entdeckt, in dem BUILTIN\Users Containerlogs lesen und NT AUTHORITY\Authenticated-Nutzer Containerlogs ändern können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

Beim Parsen unbekannter Felder in den Protobuf Java Full- und Lite-Bibliotheken kann eine bösartige Nachricht einen StackOverflow-Fehler verursachen und zu einem Programmabsturz führen.

Was soll ich tun?

Wir haben intensiv an der Behebung dieses Problems gearbeitet und eine Lösung veröffentlicht, die jetzt verfügbar ist. Wir empfehlen, die neuesten Versionen der folgenden Softwarepakete zu verwenden:

• protobuf-java (3.25.5, 4.27.5, 4.28.2)
• protobuf-javalite (3.25.5, 4.27.5, 4.28.2)
• protobuf-kotlin (3.25.5, 4.27.5, 4.28.2)
• protobuf-kotlin-lite (3.25.5, 4.27.5, 4.28.2)
• com-protobuf [nur JRuby gem] (3.25.5, 4.27.5, 4.28.2)

Welche Sicherheitslücken werden mit diesem Patch behoben?

Diese Sicherheitslücke stellt einen potenziellen Denial of Service dar.

Wenn verschachtelte Gruppen mit dem ParsingUnknownFieldsParser oder mit dem Java Protobuf Lite-Parser oder gegen Protobuf-Zuordnungsfelder als unbekannte Felder geparst werden, entstehen unbegrenzte Rekursionen, die von einem Angreifer missbraucht werden können.

CVSS4.0-Wert 8,7

Hoch

Die folgenden CVEs machen Cloud Service Mesh für ausnutzbare Sicherheitslücken angreifbar:

• CVE-2024-45807: oghttp2-Absturz bei OnBeginHeadersForStream
• CVE-2024-45808: Bösartige Protokolleinschleusung über Zugriffsprotokolle
• CVE-2024-45806: Manipulation von „x-envoy“-Headern aus externen Quellen
• CVE-2024-45809: JWT-Filter-Absturz im Cache für klare Routen mit Remote-JWKS
• CVE-2024-45810: Envoy stürzt bei LocalReply im asynchronen HTTP-Client ab

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2024-45807
  
• CVE-2024-45808
  
• CVE-2024-45806
  
• CVE-2024-45809
  
• CVE-2024-45810
  

VMware hat mehrere Sicherheitslücken in VMSA-2024-0019 veröffentlicht, die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf VMware Engine

• Google hat bereits alle potenziellen Ausnutzungen dieser Sicherheitslücke deaktiviert. Google hat beispielsweise die Ports blockiert, über die diese Sicherheitslücke ausgenutzt werden könnte.
• Außerdem sorgt Google dafür, dass alle zukünftigen Bereitstellungen von vCenter nicht von dieser Sicherheitslücke betroffen sind.

What should I do?

Sie müssen vorerst nichts weiter unternehmen.

• CVE-2024-38812
• CVE-2024-38813

In Windows wurde eine neue Sicherheitslücke bei der Remote-Codeausführung (CVE-2024-38063) entdeckt. Ein Angreifer könnte diese Sicherheitslücke aus der Ferne ausnutzen, indem er speziell erstellte IPv6-Pakete an einen Host sendet.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

Update vom 01.11.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Update vom 21.10.2024:Es wurden Patchversionen hinzugefügt und der Schweregrad für GDC (VMware) aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36978

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

Aktualisierung vom 30.10.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Aktualisierung vom 25.10.2024:Patchversionen wurden hinzugefügt und die Schwere für GDC (VMware) aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-41009

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

Aktualisierung vom 30.10.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Aktualisierung vom 21.10.2024:Patchversionen wurden hinzugefügt und die Schwere für GDC (VMware) aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-39503

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

AMD hat Google über drei neue Firmwarelücken (2 mit mittlerem Risiko, 1 mit hohem Risiko) informiert, die SEV-SNP in AMD EPYC-Prozessoren der 3. Generation (Milan) und der 4. Generation (Genoa) betreffen.

Google hat die betroffenen Assets, einschließlich Google Cloud, korrigiert, um die Sicherheit der Kunden zu gewährleisten. Derzeit wurden keine Hinweise auf eine Ausnutzung gefunden oder an Google gemeldet.

Was soll ich tun?

Kunden müssen nichts weiter tun. Korrekturen wurden bereits auf die Server von Google angewendet.

Weitere Informationen finden Sie in der AMD-Sicherheitswarnung AMD-SN-3011.

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

Aktualisierung vom 19.09.2024 : Patchversionen für die GDC-Software für VMware wurden hinzugefügt.

Aktualisierung vom 21.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26925

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare-Metal-Sicherheitsbulletin

Aktualisierung vom 30.10.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Aktualisierung vom 21.10.2024:Patchversionen wurden hinzugefügt und die Schwere für GDC (VMware) aktualisiert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-36972

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

Aktualisierung vom 02.10.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Aktualisierung vom 20.09.2024 : Patchversionen für GDC-Software für VMware wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26921

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

Update vom 18. Juli 2024:Es wurde klargestellt, dass Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26809

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

Aktualisierung vom 16.09.2024 : Patchversionen für die GDC-Software für VMware wurden hinzugefügt.

Aktualisierung vom 19. Juli 2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52654
• CVE-2023-52656

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

• CVE-2023-52654
• CVE-2023-52656

Aktualisierungen vom 16.07.2024:

Einige Kunden des serverlosen VPC-Zugriffs sind möglicherweise von einer Sicherheitslücke in OpenSSH (CVE-2024-6387) betroffen. Bei einer erfolgreichen Ausnutzung könnte ein remoter, nicht authentifizierter Angreifer beliebigen Code als Root auf der Ziel-VM ausführen. Ausbeutung wird als schwierig eingestuft. Beispielsweise können Kunden nicht auf die VMs zugreifen und die VMs haben keine öffentlichen IP-Adressen. Uns sind keine Ausbeutungsversuche bekannt.

Was soll ich tun?

Bereitstellungen für den Serverloser VPC-Zugriff wurden nach Möglichkeit automatisch von Google aktualisiert. Sie sollten jedoch prüfen, ob der von Google verwaltete Dienst-Agent die erforderliche Rolle hat. Andernfalls ist Ihr Connector für Serverloser VPC-Zugriff möglicherweise trotzdem anfällig. Wir empfehlen Ihnen, zu Direct VPC-Traffic zu migrieren oder einen neuen Connector bereitzustellen und den alten zu löschen, damit Sie die erforderliche Aktualisierung mit der Fehlerbehebung erhalten.

Aktualisierung vom 11.07.2024:Es wurden Patchversionen für GDC-Software für VMware, GKE on AWS und GKE on Azure hinzugefügt. Weitere Informationen finden Sie in den folgenden Bulletins der GKE-Dokumentation:

• Sicherheitsbulletin für GDC-Software für VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

Aktualisierung vom 10.07.2024:

• Sicherheitsbulletin für Migrate to Virtual Machines hinzugefügt.

Aktualisierungen vom 9. Juli 2024:

Einige Kunden der flexiblen App Engine-Umgebung sind möglicherweise von einer Sicherheitslücke in OpenSSH (CVE-2024-6387) betroffen. Bei einer erfolgreichen Ausnutzung könnte ein remoter, nicht authentifizierter Angreifer beliebigen Code als Root auf der Ziel-VM ausführen.

Was soll ich tun?

Google hat flexible Umgebungen bereits nach Möglichkeit automatisch aktualisiert. Einige Kunden, die den von Google verwalteten Dienst-Agenten deaktiviert oder Änderungen an den Google Cloud APIs oder anderen Standardkonfigurationen vorgenommen haben, konnten jedoch nicht aktualisiert werden und sind möglicherweise weiterhin anfällig. Sie sollten eine neue Version Ihrer App bereitstellen, um das Update mit der Fehlerbehebung zu erhalten.

Bei aktualisierten Bereitstellungen wird die SSH-Version OpenSSH_9.6p1 gemeldet. Diese Version wurde mit einer Fehlerkorrektur für CVE-2024-6387 gepatcht.

Welche Sicherheitslücken werden behoben?

Die Sicherheitslücke CVE-2024-6387, die es einem Remote-Angreifer ohne Authentifizierung ermöglicht, beliebigen Code als Root auf dem Zielcomputer auszuführen.

Aktualisierungen vom 08.07.2024:

Dataproc-Cluster in der Google Compute Engine, die mit der Imageversion 2.2 (alle Betriebssysteme) und 2.1 (nur Debian) ausgeführt werden, sind von einer Sicherheitslücke in OpenSSH (CVE-2024-6387) betroffen. Bei erfolgreicher Ausnutzung kann ein remoter, nicht authentifizierter Angreifer beliebigen Code als Root auf dem Zielcomputer ausführen.

Dataproc-Images der Versionen 2.0 und 1.5 der Google Compute Engine sowie Dataproc-Images der Version 2.1, die nicht auf Debian ausgeführt werden, sind nicht betroffen. Dataproc-Cluster mit aktivierter persönlicher Authentifizierung sind davon nicht betroffen. Dataproc Serverless ist ebenfalls davon nicht betroffen.

Was soll ich tun?

Bitte aktualisieren Sie Ihre Dataproc-Cluster in der Google Compute Engine auf eine der folgenden Versionen:

• 2.2.24 oder höher
• 2.1.58 oder höher

Falls Sie Ihre Dataproc-Cluster nicht auf eine der oben genannten Versionen aktualisieren können, empfehlen wir die Verwendung der hier verfügbaren Initialisierungsaktion: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Folgen Sie dieser Anleitung zum Angeben von Initialisierungsaktionen für Dataproc. Beachten Sie, dass die Initialisierungsaktion für bereits vorhandene Cluster auf jedem Knoten (Master und Worker) ausgeführt werden muss.

Aktualisierungen vom 03.07.2024:

• Patchversionen für GKE hinzugefügt.
• Sicherheitsbulletin für GDC-Verbindungen hinzugefügt

Aktualisierungen vom 2. Juli 2024:

• Es wurde klargestellt, dass Autopilot-Cluster betroffen sind und dass Nutzer Maßnahmen ergreifen müssen.
• Es wurden Auswirkungen und Maßnahmen zur Risikobewältigung für GDC-Software für VMware, GKE on AWS und GKE on Azure hinzugefügt.
• Das Sicherheitsbulletin zur GDC-Software für Bare Metal wurde korrigiert, um klarzustellen, dass die GDC-Software für Bare Metal nicht direkt betroffen ist und dass Kunden bei den Betriebssystemanbietern nach Patches suchen sollten.

Bei OpenSSH wurde vor Kurzem eine Sicherheitslücke bei der Remote-Codeausführung, CVE-2024-6387, entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, mit der Zugriff auf eine Remote-Shell ermöglicht wird. Dadurch erhalten Angreifer Root-Zugriff. Zum Zeitpunkt der Veröffentlichung wurde die Ausnutzung als schwierig angesehen und dauert mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausbeutungsversuche bekannt.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Compute Engine-Sicherheitsbulletin
• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal
• Sicherheitsbulletin für Google Cloud VMware Engine
• Apigee-Sicherheitsbulletin
• Dataflow-Sicherheitsbulletin
• Sicherheitsbulletin zu GDC-Verbindungen
• Sicherheitsbulletin zu Migrate to Virtual Machines

Update vom 25.09.2024 : Patchversionen für GDC-Software für VMware wurden hinzugefügt.

Aktualisierung vom 20.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26923

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GDC-Software für VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für Bare Metal

Aktualisierung vom 17.09.2024 : Patchversionen für die GDC-Software für VMware wurden hinzugefügt.

Aktualisierung vom 06.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26924

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• Sicherheitsbulletin für GDC-Software für VMware
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GDC-Software für Bare-Metal-Sicherheitsbulletin

VMware hat in VMSA-2024-0012 mehrere Sicherheitslücken offengelegt, die sich auf in Kundenumgebungen bereitgestellte vCenter-Komponenten auswirken.

Auswirkungen auf die Google Cloud VMware Engine

• Die Sicherheitslücke kann durch Zugriff auf bestimmte Ports in vCenter Server ausgenutzt werden. Google hat die anfälligen Ports auf dem vCenter-Server bereits blockiert, um potenzielle Ausnutzungen dieser Sicherheitslücke zu verhindern.
• Außerdem sorgt Google dafür, dass alle zukünftigen Bereitstellungen von vCenter nicht von dieser Sicherheitslücke betroffen sind.

What should I do?

Sie müssen vorerst nichts weiter unternehmen.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26584

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 18.07.2024 : Es wurden Patchversionen für Ubuntu-Knotenpools in GKE und eine Patchversion für Version 1.27 für Container-Optimized OS-Knotenpools hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26584

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Update vom 10.07.2024:Patchversionen für Container-Optimized OS-Knoten mit den Nebenversionen 1.26 und 1.27 wurden hinzugefügt und Patchversionen für Ubuntu-Knoten wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2024-26583

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu GKE on Bare Metal

Update vom 26.09.2024 : Patchversionen für GDC-Software für VMware wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können:

• CVE-2022-23222

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu GKE on Bare Metal

Die folgenden CVEs machen Cloud Service Mesh aus ausnutzbaren Sicherheitslücken aus:

• CVE-2024-23326: Envoy akzeptiert fälschlicherweise eine HTTP 200-Antwort, um in den Upgrade-Modus zu wechseln.
• CVE-2024-32974: Absturz in EnvoyQuicServerStream::OnInitialHeadersComplete().
• CVE-2024-32975: Absturz in QuicheDataReader::PeekVarInt62Length().
• CVE-2024-32976: Endlose Schleife beim Dekomprimieren von Brotli-Daten mit zusätzlicher Eingabe
• CVE-2024-34362: Absturz (Use-after-Free) in EnvoyQuicServerStream.
• CVE-2024-34363: Absturz aufgrund einer nicht abgefangenen nlohmann-JSON-Ausnahme.
• CVE-2024-34364: Envoy-OOM-Vektor von einem asynchronen HTTP-Client mit unbegrenztem Antwortbuffer für die Spiegelantwort.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2024-23326
  
• CVE-2024-32974
  
• CVE-2024-32975
  
• CVE-2024-32976
  
• CVE-2024-34362
  
• CVE-2024-34363
  
• CVE-2024-34364
  

In Fluent Bit wurde eine neue Sicherheitslücke (CVE-2024-4323) entdeckt, die zur Remote-Codeausführung führen kann. Betroffen sind die Fluent Bit-Versionen 2.0.7 bis 3.0.3.

GKE, GKE on VMware, GKE on AWS, GKE on Azure und GKE on Bare Metal verwenden keine anfällige Version von Fluent Bit und sind nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu GKE on Bare Metal

Aktualisierung vom 18.07.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-52620

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 19.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26642

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 22. Mai 2024:Patchversionen für Ubuntu wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26581

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 25.09.2024 : Patchversionen für die GDC-Software für VMware wurden hinzugefügt.

Aktualisierung vom 15. Mai 2024:Patchversionen für GKE-Ubuntu-Knotenpools wurden hinzugefügt.

Update vom 09.05.2024:Die Schwere wurde von „Mittel“ auf „Hoch“ korrigiert und es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26808

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 06.08.2024:Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Aktualisierung vom 09.05.2024:Der Schweregrad wurde von "Mittel" zu "Hoch" geändert.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26643

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Looker hat Sicherheitslücken behoben, die von einem externen Forscher über das Google- und Alphabet Vulnerability Reward Program (VRP)-Programm gemeldet wurden, fand aber keine Hinweise auf eine Ausnutzung. Diese Probleme sind jetzt behoben und es sind keine Nutzeraktionen für von Looker gehostete Kunden auf Looker (Google Cloud Core) und Looker (Original) erforderlich. Bei selbstgehosteten Looker-Instanzen wird empfohlen, auf die neueste unterstützte Version zu aktualisieren.

Was soll ich tun?

Von Looker gehostete Instanzen: Looker (Google Cloud Core) und Looker (Original)-Instanzen

Auf Kundenseite sind keine Maßnahmen erforderlich.

Nur selbst gehostete Looker-Instanzen

Wenn Ihre Looker-Instanz selbst gehostet wird, empfehlen wir Ihnen, ein Upgrade auf eine der folgenden Versionen durchzuführen:

• 24.6.12+
• 24.4.27+
• 24.2.58+
• 24.0.65+
• 23.18.100+
• 23.12.105+
• 23.6.163+

Wie wurde das Problem behoben?

Google hat den direkten Administratorzugriff auf die interne Datenbank über die Looker-Anwendung deaktiviert, erhöhte Berechtigungen entfernt, die den mandantenübergreifenden Zugriff ermöglichten, und die freigegebenen Secrets rotiert. Außerdem haben wir Sicherheitslücken beim Pfaddurchlauf gepatcht, durch die möglicherweise Anmeldedaten für Dienstkonten offengelegt wurden. Darüber hinaus führen wir eine gründliche Überprüfung unseres Codes und unserer Systeme durch, um ähnliche potenzielle Schwachstellen zu identifizieren und zu beheben.

Aktualisierung vom 18.07.2024 : Patchversionen für Ubuntu-Knotenpools in GKE wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-26585

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu GKE on Bare Metal

Die folgenden CVEs machen Cloud Service Mesh aus ausnutzbaren Sicherheitslücken aus:

• CVE-2024-27919: HTTP/2: Ausschöpfung des Arbeitsspeichers durch eine Flut von CONTINUATION-Frames
• CVE-2024-30255: HTTP/2: CPU-Erschöpfung aufgrund von CONTINUATION-Frame-Flood
• CVE-2024-32475: Anormale Beendigung bei Verwendung von „auto_sni“ mit einem „:authority“-Header, der länger als 255 Zeichen ist.
• CVE-2023-45288: HTTP/2-CONTINUATION-Frames können für DoS-Angriffe verwendet werden.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2024-27919
  
• CVE-2024-30255
  
• CVE-2024-32475
  
• CVE-2023-45288
  

Update vom 17.07.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Aktualisierung vom 09.07.2024:Patchversionen für GKE on Bare Metal wurden hinzugefügt.

Aktualisierung vom 24. April 2024:Patchversionen für GKE wurden hinzugefügt.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) festgestellt, darunter auch der von Kubernetes verwendete Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Compute Engine ist nicht von CVE-2024-3094 betroffen, das die Versionen 5.6.0 und 5.6.1 des xz-utils-Pakets in der liblzma-Bibliothek betrifft und zum Zugriff auf das OpenSSH-Dienstprogramm führen kann.

Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Forscher haben eine Sicherheitslücke (CVE-2023-48022) in Ray entdeckt. Ray ist ein Open-Source-Tool eines Drittanbieters für KI-Arbeitslasten. Da für Ray keine Authentifizierung erforderlich ist, können Angreifer durch Einreichen von Jobs an öffentlich zugängliche Instanzen Remote-Code ausführen. Die Sicherheitslücke wurde von Anyscale angefochten, dem Entwickler von Ray. Ray hält an der Auffassung fest, dass seine Funktionen eine beabsichtigte Hauptfunktion des Produkts sind und dass die Sicherheit stattdessen außerhalb eines Ray-Clusters implementiert werden muss, da jede unbeabsichtigte Netzwerkpräsenz des Ray-Clusters zu einer Manipulation führen kann.

Laut der Antwort ist diese CVE umstritten und wird möglicherweise nicht in Sicherheitslückenscannern angezeigt. Trotzdem wird es in der Praxis aktiv ausgenutzt und Nutzer sollten die Verwendung wie unten vorgeschlagen konfigurieren.

Was soll ich tun?

Befolgen Sie die Best Practices und Richtlinien für Ray, einschließlich des Ausführens von vertrauenswürdigem Code in vertrauenswürdigen Netzwerken, um Ihre Ray-Arbeitslasten zu schützen. Die Bereitstellung von ray.io in Kunden-Cloud-Instanzen fällt unter das Modell der geteilten Verantwortung.

Das GKE-Sicherheitsteam (Google Kubernetes Engine) hat einen Blogpost zur Sicherheit von Ray in GKE veröffentlicht.

Weitere Informationen dazu, wie Sie Ray-Diensten Authentifizierung und Autorisierung hinzufügen, finden Sie in der Dokumentation zum Identity-Aware Proxy (IAP). GKE-Nutzer können IAP gemäß dieser Anleitung implementieren oder Terraform-Module wiederverwenden, die im Blog verlinkt sind.

Aktualisierung vom 06.05.2024:Patchversionen für GKE-Ubuntu-Knotenpools wurden hinzugefügt.

Update vom 04.04.2024:Korrigierte Mindestversionen für GKE-Knotenpools mit Container-Optimized OS.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-1085

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3611

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

VMware hat mehrere Sicherheitslücken in VMSA-2024-0006 veröffentlicht, die sich auf ESXi-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden.

Auswirkungen auf die Google Cloud VMware Engine

Ihre privaten Clouds wurden aktualisiert, um die Sicherheitslücke zu schließen.

What should I do?

Sie müssen nichts weiter tun.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3776

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-3610

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2024-0193

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu GKE on Bare Metal

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können:

• CVE-2023-6932

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Update vom 17.04.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6931

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu GKE on Bare Metal

Am 13. Februar 2024 hat AMD zwei Sicherheitslücken veröffentlicht, die SEV-SNP auf EPYC-CPUs mit Zen-Kernen der dritten Generation „Milan“ und der vierten Generation „Genoa“ betreffen. Die Sicherheitslücken ermöglichen es privilegierten Angreifern, auf veraltete Daten von Gästen zuzugreifen oder die Integrität von Gästen zu schädigen.

Google hat die betroffenen Assets, einschließlich Google Cloud, gepatcht, um die Sicherheit der Kunden zu gewährleisten. Bisher wurden Google keine Hinweise auf eine Ausbeutung gefunden oder Google gemeldet.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich. Die Google-Serverflotte für Google Cloud, einschließlich Compute Engine, wurde bereits korrigiert.

Weitere Informationen finden Sie in der AMD-Sicherheitswarnung AMD-SN-3007.

• CVE-2023-31346
• CVE-2023-31347

Mit CVE-2023-5528 kann ein Angreifer Pods und persistente Volumes auf Windows-Knoten so erstellen, dass die Administratorberechtigung auf diesen Knoten eskaliert wird.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Die folgenden CVEs machen Cloud Service Mesh für ausnutzbare Sicherheitslücken angreifbar:

• CVE-2024-23322: Envoy stürzt ab, wenn es im Leerlauf ist und die Zeitüberschreitung für Anfragen pro Versuch innerhalb des Backoff-Intervalls auftritt.
• CVE-2024-23323: Hohe CPU-Auslastung, wenn der URI-Vorlagenabgleich mit einem regulären Ausdruck konfiguriert ist.
• CVE-2024-23324: Die externe Autorisierung kann umgangen werden, wenn der Proxy-Protokollfilter ungültige UTF-8-Metadaten festlegt.
• Envoy stürzt ab, wenn ein Adresstyp verwendet wird, der vom Betriebssystem nicht unterstützt wird.
• CVE-2024-23327: Absturz im Proxyprotokoll, wenn der Befehlstyp LOCAL ist.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2024-23322
  
• CVE-2024-23323
  
• CVE-2024-23324
  
• CVE-2024-23325
  
• CVE-2024-23327
  

Wenn ein Apigee API-Verwaltungsproxy eine Verbindung zu einem Zielendpunkt oder Zielserver herstellt, führt der Proxy standardmäßig keine Hostnamenvalidierung für Hostnamenüberprüfung für das vom Zielendpunkt oder Zielserver bereitgestellte Zertifikat durch. Wenn die Hostnamenüberprüfung nicht mit einer der folgenden Optionen aktiviert ist, sind Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, möglicherweise einem Man-in-the-Middle-Angriff durch einen autorisierten Nutzer ausgesetzt. Weitere Informationen finden Sie unter TLS von Edge mit dem Back-End konfigurieren (Cloud und Private Cloud).

Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen:

• Apigee Edge for Public Cloud
• Apigee Edge for Private Cloud

Eine Anleitung und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.

Update vom 06.05.2024: Patchversionen für GKE on AWS und GKE on Azure wurden hinzugefügt.

Aktualisierung vom 02.04.2024: Patchversionen für GKE on Bare Metal wurden hinzugefügt.

Update vom 06.03.2024: Patchversionen für GKE on VMware hinzugefügt

Aktualisierung vom 28.02.2024: Patchversionen für Ubuntu wurden hinzugefügt.

Aktualisierung vom 15.02.2024: Es wurde klargestellt, dass die Ubuntu-Patchversionen 1.25 und 1.26 im Update vom 14.02.2024 zu nicht betriebsbereiten Knoten führen können.

Update vom 14.02.2024: Patchversionen für Ubuntu hinzugefügt

Aktualisierung vom 06.02.2024 : Patchversionen für Container-Optimized OS wurden hinzugefügt.

Eine Sicherheitslücke, CVE-2024-21626, wurde in runc entdeckt. Über diese Sicherheitslücke kann ein Nutzer mit der Berechtigung zum Erstellen von Pods auf Knoten des Container-Optimized OS und Ubuntu vollständigen Zugriff auf das Knotendateisystem erhalten.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Aktualisierung vom 07.02.2024 : Patchversionen für Ubuntu wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-6817

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Update vom 26.01.2024:Die Anzahl der betroffenen Cluster und die Maßnahmen zur Behebung der Auswirkungen wurden geklärt. Weitere Informationen finden Sie im Sicherheitsbulletin GCP-2024-003.

Es wurden mehrere Cluster identifiziert, in denen Nutzer der Gruppe system:authenticated, zu der alle Nutzer mit einem Google-Konto gehören, Kubernetes-Berechtigungen erteilt haben. Diese Arten von Bindungen werden nicht empfohlen, da sie gegen das Prinzip der geringsten Berechtigung verstoßen und sehr großen Gruppen von Nutzern Zugriff gewähren. Eine Anleitung zum Auffinden dieser Bindungstypen finden Sie unter Was sollte ich tun?.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin

Update vom 20.02.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS-Knoten führen können.

• CVE-2023-6111

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

In der TianoCore EDK II-UEFI-Firmware wurden mehrere Sicherheitslücken entdeckt. Diese Firmware wird in Google Compute Engine-VMs verwendet. Bei Ausnutzung der Sicherheitslücken kann Secure Boot umgangen werden, was zu falschen Messwerten im Secure Boot-Prozess führen würde, auch wenn sie in Shielded VMs verwendet werden.

What should I do?

Sie müssen nichts weiter tun. Google hat diese Sicherheitslücke in der Compute Engine behoben. Alle VMs sind vor dieser Sicherheitslücke geschützt.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Mit diesem Patch wurden die folgenden Sicherheitslücken geschlossen:

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

• CVE-2022-36763
• CVE-2022-36764
• CVE-2022-36765

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3609

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3389

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3090

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu GKE on Bare Metal

Update vom 21. 12. 2023:GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3390

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Ein Angreifer, der den Fluent Bit-Logging-Container manipuliert hat, könnte diesen Zugriff mit hohen Berechtigungen kombinieren, die von Cloud Service Mesh in Clustern, in denen es aktiviert ist, benötigt werden, um die Berechtigungen im Cluster zu eskalieren.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Update vom 04.03.2024 : GKE-Versionen für GKE on VMware hinzugefügt.

Aktualisierung vom 22.01.2024:Ubuntu-Patchversionen hinzugefügt

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5717

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• GKE on Bare Metal-Sicherheitsbulletin

Update vom 21. 12. 2023:GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-5197

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Am 14. November hat AMD mehrere Sicherheitslücken bekannt gegeben, die sich auf verschiedene AMD-Server-CPUs auswirken. Insbesondere sind EPYC-Server-CPUs mit Zen-Kernen der 2. Generation „Rome“, der 3. Generation „Milan“ und der 4. Generation „Genoa“ betroffen.

Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um die Kunden zu schützen. Derzeit wurden keine Hinweise auf eine Ausnutzung gefunden oder an Google gemeldet.

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich.

Die Google-Serverflotte für Google Cloud, einschließlich der Google Compute Engine, wurde bereits korrigiert.

Welche Sicherheitslücken werden behoben?

Mit diesem Patch wurden die folgenden Sicherheitslücken behoben:

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2023-20521
• CVE-2021-46766
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Weitere Informationen finden Sie in der Sicherheitsmitteilung von AMD AMD-SN-3005: „AMD INVD Instruction Security Notice“, die auch als CacheWarp veröffentlicht wurde, und in AMD-SN-3002: „AMD Server Vulnerabilities – November 2023“.

• CVE-2022-23820
• CVE-2021-46774
• CVE-2023-20533
• CVE-2023-20519
• CVE-2023-20592
• CVE-2023-20566
• CVE-2022-23830
• CVE-2023-20526
• CVE-2021-26345

Intel hat eine CPU-Sicherheitslücke in ausgewählten Prozessoren offengelegt. Google hat Maßnahmen ergriffen, um seine Serverflotte, einschließlich der Google Compute Engine für Google Cloud und ChromeOS-Geräte, zu reduzieren, um die Sicherheit der Kunden zu gewährleisten.

Details zur Sicherheitslücke:

• CVE-2023-23583

Was soll ich tun?

Auf Kundenseite sind keine Maßnahmen erforderlich.

Die von Intel für die betroffenen Prozessoren bereitgestellte Abhilfe wurde auf die Google-Serverflotte angewendet, einschließlich der Google Compute Engine für Google Cloud.

Derzeit erfordert Google Distributed Cloud Edge ein Update vom OEM. Google wird dieses Produkt korrigieren, sobald das Update verfügbar ist. Dieses Bulletin wird dann entsprechend aktualisiert.

ChromeOS-Geräte mit den betroffenen Prozessoren haben die Korrektur automatisch im Rahmen der Versionen 119, 118 und 114 (LTS) erhalten.

Welche Sicherheitslücken werden behoben?

CVE-2023-23583. Weitere Informationen finden Sie in der Intel-Sicherheitswarnung INTEL-SA-00950.

Aktualisierung vom 15.11.2023:Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende GKE-Version mit Patch aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4147

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 05.12.2023:Es wurden weitere GKE-Versionen für Container-Optimized OS-Knotenpools hinzugefügt.

Aktualisierung vom 21. November 2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende Patchversion für GKE aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4004

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Update vom 21. 12. 2023:GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen.

Aktualisierung vom 21.11.2023:Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende GKE-Version mit Patch aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4921

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.11.2023:Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende GKE-Version mit Patch aktualisiert werden müssen.

Aktualisierung vom 16.11.2023:Die mit diesem Sicherheitsbulletin verknüpfte Sicherheitslücke lautet CVE-2023-4622. CVE-2023-4623 wurde in einer früheren Version des Sicherheitsbulletins fälschlicherweise als Sicherheitslücke aufgeführt.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Update vom 21. 12. 2023:GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen.

Aktualisierung vom 21.11.2023:Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende GKE-Version mit Patch aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4623

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Update vom 21. 12. 2023:GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen.

Aktualisierung vom 21.11.2023:Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende GKE-Version mit Patch aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4015

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

Deep Learning VM Images ist ein Satz von vorgefertigten und sofort einsatzbereiten VM-Images mit einem Deep Learning Framework. Vor Kurzem wurde in der Funktion „ReadHuffmanCodes()“ der Bibliothek „libwebp“ eine Sicherheitslücke beim Schreiben außerhalb des Bereichs entdeckt. Dies kann sich auf Images auswirken, die diese Bibliothek verwenden.

Google Cloud scannt seine öffentlich veröffentlichten Images kontinuierlich und aktualisiert die Pakete, damit gepatchte Distributionen in den neuesten Releases enthalten sind, die für die Kundenakzeptanz verfügbar sind. Deep Learning VM Images wurden aktualisiert, damit die neuesten VM-Images die gepatchten Distributionen enthalten. Kunden, die die neuesten VM-Images verwenden, sind von dieser Sicherheitslücke nicht betroffen.

Was soll ich tun?

Google Cloud-Kunden, die veröffentlichte VM-Images verwenden, sollten darauf achten, dass sie die neuesten Images verwenden und ihre Umgebungen gemäß dem Modell der geteilten Verantwortung auf dem neuesten Stand haben.

CVE-2023-4863 könnte von einem Angreifer ausgenutzt werden, um beliebigen Code auszuführen. Diese Sicherheitslücke wurde in Google Chrome vor 116.0.5845.187 und in "libwebp" vor 1.3.2 gefunden und ist unter CVE-2023-4863 aufgeführt.

Update vom 21. 12. 2023:GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen.

Aktualisierung vom 21.11.2023:Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende GKE-Version mit Patch aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-4206
• CVE-2023-4207
• CVE-2023-4208
• CVE-2023-4128

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

VMware hat in VMSA-2023-0023 mehrere Sicherheitslücken offengelegt, die sich auf in Kundenumgebungen bereitgestellte vCenter-Komponenten auswirken.

Auswirkungen von Cloud Customer Care

• Die Sicherheitslücke kann durch den Zugriff auf bestimmte Ports in vCenter Server ausgenutzt werden. Diese Ports sind nicht für das öffentliche Internet zugänglich.
• Wenn Ihre vCenter-Ports 2012/tcp, 2014/tcp und 2020/tcp für nicht vertrauenswürdige Systeme nicht zugänglich sind, sind Sie dieser Sicherheitslücke nicht ausgesetzt.
• Google hat die gefährdeten Ports auf dem vCenter-Server bereits blockiert, um eine potenzielle Ausnutzung dieser Sicherheitslücke zu verhindern.
• Außerdem wird Google dafür sorgen, dass alle zukünftigen Bereitstellungen von vCenter-Servern nicht von dieser Sicherheitslücke betroffen sind.
• Zum Zeitpunkt der Veröffentlichung dieses Bulletins war VMware keiner tatsächlichen Ausnutzung bekannt. Weitere Informationen finden Sie in der VMware-Dokumentation.

What should I do?

Sie müssen vorerst nichts weiter unternehmen.

Update vom 21.12.2023:GKE Autopilot-Cluster in der Standardkonfiguration und GKE Sandbox-Arbeitslasten sind nicht betroffen.

Aktualisierung vom 21.11.2023:Es wird klargestellt, dass nur die aufgeführten Nebenversionen auf eine entsprechende GKE-Version mit Patch aktualisiert werden müssen.

Im Linux-Kernel wurden die folgenden Sicherheitslücken entdeckt, die zu einer Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten führen können.

• CVE-2023-3777

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) festgestellt, darunter auch der von Apigee X und Apigee Hybrid verwendete Apigee Ingress-Dienst (Cloud Service Mesh). Die Sicherheitslücke kann zu einem DoS der Apigee API-Verwaltungsfunktion führen.

Anleitungen und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin.

Ein Denial-of-Service-Angriff kann sich bei Verwendung des HTTP/2-Protokolls auf die Datenebene auswirken. Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Aktualisierung vom 20.03.2024:Es wurden Patchversionen für GKE on AWS und GKE on Azure mit den neuesten Patches für CVE-2023-44487 hinzugefügt.

Aktualisierung vom 14.02.2024:Patchversionen für GKE on VMware wurden hinzugefügt.

Aktualisierung vom 09.11.2023:CVE-2023-39325 wurde hinzugefügt. GKE-Versionen wurden mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325 aktualisiert.

Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke kann zu einem DoS-Angriff auf die Steuerungsebene der Google Kubernetes Engine (GKE) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken sind durch einen eingeschränkten Netzwerkzugriff geschützt. Alle anderen Cluster sind jedoch betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

TorchServe wird verwendet, um PyTorch-Modelle für maschinelles Lernen für Onlinevorhersagen zu hosten. Vertex AI bietet vordefinierte Container für die Bereitstellung von PyTorch-Modellen, die von TorchServe abhängen. In TorchServe wurden kürzlich Sicherheitslücken erkannt, die es einem Angreifer ermöglichen würden, die Kontrolle über eine Bereitstellung von TorchServe zu übernehmen, wenn seine Modellverwaltungs-API offengelegt wird. Kunden mit PyTorch-Modellen, die für die Onlinevorhersage in Vertex AI bereitgestellt werden, sind von diesen Sicherheitslücken nicht betroffen, da Vertex AI die Modellverwaltungs-API von TorchServe nicht freigibt. Kunden, die TorchServe außerhalb von Vertex AI verwenden, sollten Vorkehrungen treffen, um ihre Bereitstellungen sicher einzurichten.

Was soll ich tun?

Vertex AI-Kunden mit bereitgestellten Modellen, die die vordefinierten PyTorch-Bereitstellungscontainer von Vertex AI verwenden, müssen keine Maßnahmen ergreifen, um die Sicherheitslücken zu schließen, da der Verwaltungsserver von TorchServe bei Vertex AI-Bereitstellungen nicht dem Internet ausgesetzt ist.

Kunden, die die vordefinierten PyTorch-Container in anderen Kontexten verwenden oder eine benutzerdefinierte oder Drittanbieter-Distribution von TorchServe verwenden, sollten Folgendes tun:

• Achten Sie darauf, dass die Modellverwaltungs-API von TorchServe nicht dem Internet zugänglich ist. Die Modellverwaltungs-API kann nur auf den lokalen Zugriff beschränkt werden, indem sichergestellt wird, dass management_address an 127.0.0.1 gebunden ist.
• Verwenden Sie die Einstellung allowed_urls, damit Modelle nur aus beabsichtigten Quellen geladen werden können.
• Führen Sie so bald wie möglich ein Upgrade von TorchServe auf Version 0.8.2 durch. Darin werden Maßnahmen für dieses Problem behoben. Als Vorsichtsmaßnahme wird Vertex AI bis zum 13.10.2023 feste vordefinierte Container veröffentlichen.

Welche Sicherheitslücken werden behoben?

Die Verwaltungs-API von TorchServe ist in den meisten TorchServe-Docker-Images standardmäßig an 0.0.0.0 gebunden, einschließlich der von Vertex AI veröffentlichten. Dadurch ist sie für externe Anfragen zugänglich. Die Standard-IP-Adresse für die Verwaltungs-API wird in TorchServe 0.8.2 in 127.0.0.1 geändert, um dieses Problem zu beheben.

Durch CVE-2023-43654 und CVE-2022-1471 können Nutzer mit Zugriff auf die Verwaltungs-API Modelle aus beliebigen Quellen laden und Code aus der Ferne ausführen. In TorchServe 0.8.2 sind Abhilfemaßnahmen für diese beiden Probleme enthalten: Der Remote-Codeausführungspfad wird entfernt und eine Warnung wird ausgegeben, wenn der Standardwert für allowed_urls verwendet wird.

Kunden können Google Security Operations so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets mithilfe eines Datenaufnahmefeeds aufgenommen werden. Bis vor Kurzem hat Google Security Operations ein freigegebenes Dienstkonto bereitgestellt, mit dem Kunden dem Bucket eine Berechtigung gewähren konnten. Es bestand die Möglichkeit, dass die Google Security Operations-Instanz eines Kunden so konfiguriert werden konnte, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen wurden. Bei unserer Wirkungsanalyse konnten wir weder feststellen, dass diese Sicherheitslücke aktuell noch ausgenutzt wurde. Die Sicherheitslücke war in allen Versionen von Google Security Operations vor dem 19. September 2023 vorhanden.

Was soll ich tun?

Am 19. September 2023 wurde Google Security Operations aktualisiert, um diese Sicherheitslücke zu beheben. Kunden müssen nichts weiter tun.

Welche Sicherheitslücken werden behoben?

Bisher hat Google Security Operations ein freigegebenes Dienstkonto bereitgestellt, mit dem Kunden einem Bucket eine Berechtigung gewähren konnten. Da verschiedene Kunden demselben Google Security Operations-Dienstkonto die Berechtigung für ihren Bucket erteilt haben, gab es einen Exploit-Vektor, der es dem Feed eines Kunden ermöglichte, auf den Bucket eines anderen Kunden zuzugreifen, wenn ein Feed erstellt oder geändert wurde. Für diesen Ausnutzungsvektor war das Wissen um den Bucket-URI erforderlich. Beim Erstellen oder Ändern von Feeds verwendet Google Security Operations jetzt eindeutige Dienstkonten für jeden Kunden.

Mit den VMware vCenter Server-Updates werden mehrere Sicherheitslücken in Bezug auf Speicherbeschädigungen behoben (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896).

Auswirkungen auf den Kundenservice

VMware vCenter Server (vCenter Server) und VMware Cloud Foundation (Cloud Foundation)

What should I do?

Für Kunden hat die Änderung keine Auswirkungen und es sind keine Maßnahmen erforderlich.

• CVE-2023-20893

In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955 und CVE-2023-3893) entdeckt, bei denen ein Nutzer, der Pods auf Windows-Knoten erstellen kann, möglicherweise Administratorrechte auf diesen Knoten erhalten kann. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und des Kubernetes CSI-Proxys.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

Intel hat vor Kurzem die Intel-Sicherheitswarnung INTEL-SA-00828 veröffentlicht, die einige seiner Prozessorfamilien betrifft. Wir empfehlen Ihnen, Ihre Risiken anhand der Informationen in der Warnung zu bewerten.

Auswirkungen der Google Cloud VMware Engine

Unsere Flotte nutzt die betroffenen Prozessorfamilien. Bei unserer Bereitstellung ist der gesamte Server einem einzelnen Kunden gewidmet. Daher erhöht unser Bereitstellungsmodell das Risiko bei der Bewertung dieser Sicherheitslücke nicht.

Wir arbeiten mit unseren Partnern zusammen, um die erforderlichen Patches zu erhalten, und werden diese in den nächsten Wochen nach Priorität in der gesamten Flotte mithilfe des Standard-Upgradeprozesses bereitstellen.

What should I do?

Sie müssen nichts weiter tun. Wir arbeiten daran, alle betroffenen Systeme zu aktualisieren.

• CVE-2022-40982

Aktualisierung vom 04.06.2024:Die folgenden fehlenden Produkte wurden jetzt aktualisiert, um diese Sicherheitslücke zu beheben:

• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge

Update vom 10.08.2023:ChromeOS-LTS-Versionsnummer hinzugefügt.

Intel hat eine Sicherheitslücke in ausgewählten Prozessoren (CVE-2022-40982) offengelegt. Google hat Maßnahmen ergriffen, um seine Serverflotte, einschließlich Google Cloud, zu reduzieren, um die Sicherheit der Kunden zu gewährleisten.

Details zu Sicherheitslücken:

• CVE-2022-40982 (Intel IPU 2023.3, „GDS“ bzw. „Downfall“)

Was soll ich tun?

Kunden müssen nichts weiter tun.

Alle verfügbaren Patches wurden bereits auf die Google-Serverflotte für Google Cloud angewendet, einschließlich der Google Compute Engine.

Für die folgenden Produkte sind derzeit zusätzliche Aktualisierungen durch Partner und Anbieter erforderlich.

• Google Cloud VMware Engine
• Google Distributed Cloud Hosted
• Google Distributed Cloud Edge
• Bare-Metal-Lösung von Google Cloud
• Evolved Packet Core

Google behebt diese Produkte, sobald diese Patches verfügbar sind, und dieses Bulletin wird entsprechend aktualisiert.

Google Chromebook- und ChromeOS Flex-Kunden erhalten die von Intel bereitgestellten Abhilfemaßnahmen automatisch in der stabilen Version (115), der LTS-Version (108), der Betaversion (116) und der LTC-Version (114). Chromebook- und ChromeOS Flex-Kunden, die an eine ältere Version angepinnt haben, sollten diese und andere Sicherheitslücken entfernen und zur stabilen Version bzw. zur Version „Langzeitsupport“ wechseln.

Welche Sicherheitslücken werden behoben?

CVE-2022-40982: Weitere Informationen finden Sie in der Intel-Sicherheitswarnung INTEL-SA-00828.

AMD hat eine Sicherheitslücke in ausgewählten Prozessoren (CVE-2023-20569) offengelegt. Google hat Maßnahmen ergriffen, um seine Serverflotte, einschließlich Google Cloud, zu reduzieren, um die Sicherheit der Kunden zu gewährleisten.

Details zur Sicherheitslücke:

• CVE-2023-20569 (AMD SB-7005, auch „Inception“ genannt)

Was soll ich tun?

Nutzer von Compute Engine-VMs sollten die vom Betriebssystem bereitgestellten Maßnahmen zur Risikominderung berücksichtigen, wenn sie die Ausführung nicht vertrauenswürdigen Codes innerhalb einer Instanz verwenden. Wir empfehlen Kunden, sich an ihren Betriebssystemanbieter zu wenden, um weitere Informationen zu erhalten.

Die Google-Serverflotte für Google Cloud, einschließlich der Google Compute Engine, wurde bereits korrigiert.

Welche Sicherheitslücken werden behoben?

CVE-2023-20569 – Weitere Informationen finden Sie unter AMD SB-7005.

Google hat vor der Version 1.57 eine Sicherheitslücke in gRPC-C++-Implementierungen gefunden. Es handelte sich um eine DoS-Sicherheitslücke (Denial of Service) in der C++-Implementierung von gRPC. Diese Probleme wurden in den Versionen 1.53.2, 1.54.3, 1.55.2, 1.56.2 und 1.57 behoben.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• Die gRPC-Versionen 1.53, 1.54, 1.55 und 1.56 müssen auf die folgenden Patchreleases aktualisiert werden:
• 1.53.2
• 1.54.3
• 1.55.2
• 1.56.2
• Für gRPC (C++, Python, Ruby) Version 1.52 und niedriger ist ein Upgrade auf eine der genehmigten Patch-Releases erforderlich. Beispiel: 1.53.2, 1.54.3, 1.53.4 usw.

Welche Sicherheitslücken werden behoben?

Diese Patches mindern die folgenden Sicherheitslücken:

• Denial-of-Service-Sicherheitslücke in gRPC-C++-Implementierungen: Speziell erstellte Anfragen können zur Beendigung der Verbindung zwischen einem Proxy und einem Backend führen.

Die folgenden CVEs machen Cloud Service Mesh für ausnutzbare Sicherheitslücken angreifbar:

• CVE-2023-35941: Ein bösartiger Client kann in bestimmten Szenarien Anmeldedaten mit dauerhafter Gültigkeit erstellen. Beispielsweise kann die Kombination aus Host und Ablaufzeit in der HMAC-Nutzlast immer in der HMAC-Prüfung des OAuth2-Filters gültig sein.
• CVE-2023-35942: gRPC-Zugriffs-Logs, die den globalen Bereich des Listeners verwenden, können zu einem Absturz nach dem Leeren des Listeners führen, wenn der Listener per Drain beendet wird. Dies kann durch ein LDS-Update mit derselben gRPC-Zugriffsprotokollkonfiguration ausgelöst werden.
• CVE-2023-35943: Wenn der origin-Header zum Entfernen mit request_headers_to_remove: origin konfiguriert ist, löst der CORS-Filter den segfault aus und stürzt Envoy ab.
• CVE-2023-35944: Angreifer können gemischte Schemaanfragen senden, um Schemaprüfungen in Envoy zu umgehen. Wenn beispielsweise eine Anfrage mit einem gemischten HTTP-Schema an den OAuth2-Filter gesendet wird, schlagen die Prüfungen auf Übereinstimmung mit HTTP fehl und der Remote-Endpunkt wird darüber informiert, dass das Schema HTTPS ist. Dadurch werden möglicherweise OAuth2-Prüfungen für HTTP-Anfragen umgangen.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2023-35941
  
• CVE-2023-35942
  
• CVE-2023-35943
  
• CVE-2023-35944
  

AMD hat ein Microcode-Update veröffentlicht, mit dem eine Hardwaresicherheitslücke (CVE-2023-20593) geschlossen wird. Google hat die erforderlichen Korrekturen für diese Sicherheitslücke auf seiner Serverflotte angewendet, einschließlich Servern für die Google Cloud Platform. Die Tests haben gezeigt, dass die Leistung der Systeme nicht beeinträchtigt wird.

Was soll ich tun?

Kunden müssen nichts unternehmen, da die Korrekturen bereits auf der Google-Serverflotte für die Google Cloud Platform angewendet wurden.

Welche Sicherheitslücken werden behoben?

Mit CVE-2023-20593 wird eine Sicherheitslücke in einigen AMD-CPUs geschlossen. Weitere Informationen

In Envoy wurde eine neue Sicherheitslücke (CVE-2023-35945) entdeckt. Bei dieser Lücke kann eine speziell erstellte Antwort von einem nicht vertrauenswürdigen vorgelagerten Dienst zu einer Dienstverweigerung durch Speichererschöpfung führen. Das liegt am HTTP/2-Codec von Envoy, der beim Empfang von RST_STREAM, gefolgt von den GOAWAY-Frames von einem Upstream-Server, möglicherweise eine Header-Map und Buchhaltungsstrukturen freigibt.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind betroffen, da GKE Autopilot-Knoten immer Container-Optimized OS-Knoten-Images verwenden. Betroffen sind GKE-Standardcluster mit Version 1.25 oder höher, auf denen Container-Optimized OS-Knoten-Images ausgeführt werden.

GKE-Cluster sind nicht betroffen, wenn nur Ubuntu-Knoten-Images ausgeführt werden, Versionen vor 1.25 verwendet werden oder die GKE Sandbox verwendet wird.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Update vom 11.07.2023:Neue GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die einen Patch für CVE-2023-31436 ausführen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

In Envoy wurden mehrere Sicherheitslücken entdeckt, die in Cloud Service Mesh verwendet werden und es einem böswilligen Angreifer ermöglichen, einen Denial of Service oder einen Absturz von Envoy zu verursachen. Diese wurden separat als GCP-2023-002 gemeldet.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-0468) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnte, Berechtigungen auf das Root-System auszuweiten, wenn io_poll_get_ownership bei jedem io_poll_wake die req->poll_refs erhöht und dann auf 0 überläuft. Dies führt dazu, dass req->file zweimal gesendet wird und ein Problem mit der refcount des Datei-Structs auftritt. Betroffen sind GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS mit Linux-Kernel-Version 5.15. GKE-Cluster, die Ubuntu-Images oder GKE Sandbox verwenden, sind nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Update vom 11.08.2023 : Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und Google Distributed Cloud Virtual for Bare Metal wurden hinzugefügt.

In Kubernetes wurden zwei neue Sicherheitsprobleme entdeckt, bei denen Nutzer möglicherweise Container starten können, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder den ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount-Zulassungs-Plug-in (CVE-2023-2728) verwenden.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Wenn Sie die Cloud Build API in einem Projekt aktivieren, wird automatisch ein Standarddienstkonto für Cloud Build erstellt, um Builds in Ihrem Namen auszuführen. Dieses Cloud Build-Dienstkonto hatte zuvor die IAM-Berechtigung logging.privateLogEntries.list, die es Builds ermöglichte, standardmäßig auf private Protokolle zuzugreifen. Diese Berechtigung wurde nun für das Cloud Build-Dienstkonto widerrufen, um das Sicherheitsprinzip der geringsten Berechtigung einzuhalten.

Anleitungen und weitere Informationen finden Sie im Cloud Build-Sicherheitsbulletin.

Google hat drei neue Sicherheitslücken in der gRPC-C++-Implementierung identifiziert. Diese werden demnächst als CVE-2023-1428, CVE-2023-32731 und CVE-2023-32732 veröffentlicht.

Im April haben wir zwei Sicherheitslücken in den Versionen 1.53 und 1.54 gefunden. Eine war eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung des gRPC-Tools und die andere eine Remote-Daten-Exfiltration. Diese Fehler wurden in den Releases 1.53.1, 1.54.2 und höher behoben.

Zuvor im März haben unsere internen Teams bei Routine-Fuzzing-Aktivitäten eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC entdeckt. Das Problem wurde in der gRPC 1.52-Version gefunden und in den Versionen 1.52.2 und 1.53 behoben.

What should I do?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• Für grpc (C++, Python, Ruby) Version 1.52, 1.53 und 1.54 ist ein Upgrade auf die folgenden Patch-Releases erforderlich:
• 1.52.2
• 1.53.1
• 1.54.2
• gRPC (C++, Python, Ruby) Version 1.51 und niedriger sind nicht betroffen. Nutzer dieser Versionen müssen nichts unternehmen.

Welche Sicherheitslücken werden mit diesen Patches behoben?

Diese Patches dienen zur Behebung der folgenden Sicherheitslücken:

• In den Versionen 1.53.1, 1.54.2 und höher wird die folgende Sicherheitslücke behoben: Denial-of-Service-Sicherheitslücke in der gRPC-C++-Implementierung. Speziell erstellte Anfragen können dazu führen, dass die Verbindung zwischen einem Proxy und einem Backend getrennt wird. Sicherheitslücke für die Remote-Datenextraktion: Eine Desynchronisierung in der HPACK-Tabelle aufgrund von Einschränkungen der Headergröße kann dazu führen, dass Proxy-Backends Headerdaten von anderen Clients, die mit einem Proxy verbunden sind, preisgeben.
• In den Versionen 1.52.2, 1.53 und höher wurde die folgende Sicherheitslücke behoben: Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC. Das Parsen einiger speziell formulierter Anfragen kann zu einem Absturz führen, der einen Server beeinträchtigt.

Wir empfehlen, ein Upgrade auf die neuesten Versionen der oben aufgeführten Softwarepakete durchzuführen.

Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf Root-Berechtigungen auf dem Knoten führen kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Kürzlich wurde in Cloud SQL for SQL Server eine Sicherheitslücke entdeckt, die es Kundenadministratorkonten ermöglichte, Trigger in der tempdb-Datenbank zu erstellen und damit sysadmin-Berechtigungen in der Instanz zu erhalten. Mit den Berechtigungen sysadmin erhält der Angreifer Zugriff auf die Systemdatenbanken und teilweisen Zugriff auf den Computer, auf dem diese SQL Server-Instanz ausgeführt wird.

Google Cloud hat das Problem durch die Behebung der Sicherheitslücke zum Zeitpunkt des 1. März 2023 behoben. Google Cloud hat keine kompromittierten Kundeninstanzen gefunden.

Anleitungen und weitere Informationen finden Sie im Cloud SQL-Sicherheitsbulletin.

Aktualisierung vom 06.06.2023:Neue GKE-Versionen wurden aktualisiert, um die neuesten Ubuntu-Versionen mit Patches für CVE-2023-1281 und CVE-2023-1829 zu enthalten.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Im Trusted Platform Module (TPM) 2.0 wurden zwei Sicherheitslücken (CVE-2023-1017 und CVE-2023-1018) entdeckt.

Die Sicherheitslücken hätten es einem ausgefeilten Angreifer ermöglicht, einen 2-Byte-Out-of-Bounds-Lese-/Schreibvorgang auf bestimmten Compute Engine-VMs auszunutzen.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

• CVE-2023-1017
• CVE-2023-1018

Update vom 21. 12. 2023:GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-0240 und CVE-2023-23586) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnten, seine Berechtigungen zu erweitern.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

Die folgenden CVEs machen Cloud Service Mesh für ausnutzbare Sicherheitslücken angreifbar:

• CVE-2023-27496: Wenn Envoy mit aktiviertem OAuth-Filter ausgeführt wird, könnte ein böswilliger Akteur eine Anfrage erstellen, die durch einen Absturz von Envoy zu einem Denial of Service führt.
• CVE-2023-27488: Der Angreifer kann diese Sicherheitslücke nutzen, um Authentifizierungsüberprüfungen zu umgehen, wenn „ext_authz“ verwendet wird.
• CVE-2023-27493: Die Envoy-Konfiguration muss auch eine Option zum Hinzufügen von Anfrageheadern enthalten, die mit Eingaben aus der Anfrage generiert wurden, z. B. das SAN des Peer-Zertifikats.
• CVE-2023-27492: Angreifer können große Anfragekörper für Routen senden, für die der Lua-Filter aktiviert ist, und Abstürze auslösen.
• CVE-2023-27491: Angreifer können speziell entwickelte HTTP/2- oder HTTP/3-Anfragen senden, um im HTTP/1-Upstream-Dienst Parsing-Fehler auszulösen.
• CVE-2023-27487: Der Header „x-envoy-original-path“ sollte ein interner Header sein, aber Envoy entfernt diesen Header zu Beginn der Anfrageverarbeitung nicht aus der Anfrage, wenn er von einem nicht vertrauenswürdigen Client gesendet wird.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2023-27496
  
• CVE-2023-27488
  
• CVE-2023-27493
  
• CVE-2023-27492
  
• CVE-2023-27491
  
• CVE-2023-27487
  

Update vom 21. 12. 2023:GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu einem Absturz führen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Aktualisierung vom 19.01.2023:Es wurde hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

In OpenSSL v3.0.6 wurden zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) entdeckt, die potenziell zu einem Absturz führen können.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-3786
• CVE-2022-3602

Update vom 19.01.2023: Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

Aktualisierung vom 16.12.2022:Patchversionen für GKE und GKE on VMware wurden hinzugefügt.

Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) entdeckt, die zu einem vollständigen Container-Breakout zum Root auf dem Knoten führen können.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-2585
• CVE-2022-2588

In Istio, das in Cloud Service Mesh verwendet wird, wurde die Sicherheitslücke CVE-2022-39278 entdeckt. Sie ermöglicht es einem böswilligen Angreifer, die Steuerungsebene zum Absturz zu bringen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 14.12.2022:Patchversionen für GKE und GKE on VMware wurden hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-20409) entdeckt, die es einem nicht privilegierten Nutzer ermöglichen könnte, die Ausführungsberechtigungen des Systems zu eskalieren.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration nicht betroffen sind.

Update vom 19.01.2023: Es wurde Informationen hinzugefügt, dass die GKE-Version 1.21.14-gke.14100 verfügbar ist.

Update vom 15.12.2022:Die Informationen wurden aktualisiert, dass die Einführung von Version 1.21.14-gke.9400 von Google Kubernetes Engine aussteht und diese möglicherweise durch eine höhere Versionsnummer ersetzt werden.

Update vom 22.11.2022:Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure wurden hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-3176) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

Die Istio-Steuerungsebene istiod ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine spezielle Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Eine Sicherheitslücke beim Parsen von Nachrichten und bei der Speicherverwaltung in den C++- und Python-Implementierungen von ProtocolBuffer kann bei der Verarbeitung einer speziell erstellten Nachricht einen Fehler aufgrund fehlenden Arbeitsspeichers (OOM) auslösen. Dies kann zu einem Denial-of-Service-Angriff (DoS) auf Dienste führen, die die Bibliotheken verwenden.

What should I do?

Verwenden Sie die neuesten Versionen der folgenden Softwarepakete:

• protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
• protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

Eine speziell erstellte kleine Nachricht, die dazu führt, dass der laufende Dienst große Mengen an RAM zuweist. Aufgrund der geringen Größe der Anfrage können die Sicherheitslücken und die ausgeschöpften Ressourcen ganz einfach ausgenutzt werden. C++- und Python-Systeme, die nicht vertrauenswürdige Protokollpuffer nutzen, sind anfällig für DoS-Angriffe, wenn die RPC-Anfrage ein MessageSet-Objekt enthält.

Update vom 21. 12. 2023:GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen.

Aktualisierung vom 14.09.2022:Es wurden Patchversionen für GKE on VMware, GKE on AWS und GKE on Azure hinzugefügt.

Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Update vom 22.11.2022:Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen.

Aktualisierung vom 21.07.2022:Weitere Informationen zu GKE on VMware.

Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 22. November 2022:Autopilot-Cluster sind nicht von CVE-2022-29581 betroffen, aber anfällig für CVE-2022-29582 und CVE-2022-1116.

Im Linux-Kernel wurden drei neue Sicherheitslücken (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) in Bezug auf Speicherbeschädigung erkannt. Durch diese Sicherheitslücken kann ein nicht privilegierter Nutzer mit lokalem Zugriff auf den Cluster eine vollständige Container-Aufschlüsselung zum Rooting auf dem Knoten durchführen. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) sind betroffen.

Anweisungen und weitere Einzelheiten finden Sie in den folgenden Bulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

• CVE-2022-29581
• CVE-2022-29582
• CVE-2022-1116

10. 06. 2022-Update:Die Cloud Service Mesh-Versionen wurden aktualisiert. Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Die folgenden CVEs für Envoy und Istio machen Cloud Service Mesh und Istio on GKE für remote ausnutzbare Sicherheitslücken angreifbar:

• CVE-2022-31045: Die Istio-Datenebene kann potenziell unsicher auf den Speicher zugreifen, wenn die Exchange- und Stats-Erweiterungen für Metadata aktiviert sind.
• CVE-2022-29225: Daten können die zwischengelagerten Pufferlimits überschreiten, wenn ein böswilliger Angreifer eine kleine, stark komprimierte Nutzlast (ZIP-Bomb-Angriff) übergibt.
• CVE-2021-29224: Potenzielle Null-Pointer-Dereferenzierung in GrpcHealthCheckerImpl.
• CVE-2021-29226: Der OAuth-Filter ermöglicht eine einfache Umgehung.
• CVE-2022-29228: Ein OAuth-Filter kann den Speicher beschädigen (frühere Versionen) oder ein ASSERT()-Objekt auslösen (spätere Versionen).
• CVE-2022-29227: Interne Weiterleitungen schlagen bei Anfragen mit Text oder Anhängen fehl.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

• CVE-2022-31045
  
• CVE-2022-29225
  
• CVE-2021-29224
  
• CVE-2021-29226
  
• CVE-2022-29228
  
• CVE-2022-29227
  

Aktualisierung vom 22.11.2022:GKE Autopilot-Cluster und Arbeitslasten, die in der GKE Sandbox ausgeführt werden, sind nicht betroffen.

Aktualisierung vom 12.05.2022:Die GKE on AWS- und GKE on Azure-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

---

Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 22. November 2022:Für GKE-Cluster im Standard- und Autopilot-Modus sind Arbeitslasten, die GKE Sandbox verwenden, nicht betroffen.

Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft die folgenden Produkte:

• GKE-Knotenpoolversionen ab 1.22, die Container-Optimized OS-Images verwenden (Container-Optimized OS 93 und höher)
• GKE on VMware v1.10 für Container-Optimized OS-Images
• GKE on AWS v1.21 und GKE on AWS (vorherige Generation) v1.19, v1.20 und v1.21, die Ubuntu verwenden
• Verwaltete GKE-Cluster auf Azure v1.21, die Ubuntu verwenden

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 11.08.2022:Es wurden weitere Informationen zur Konfiguration des gleichzeitigen Multi-Threadings (SMT) hinzugefügt. SMT sollte deaktiviert sein, war aber in den aufgeführten Versionen aktiviert.

Wenn Sie SMT manuell für einen Knotenpool in einer Sandbox aktiviert haben, bleibt SMT trotz dieses Problems manuell aktiviert.

Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:

• 1.22.4-gke.1501
• 1.22.6-gke.300
• 1.23.2-gke.300
• 1.23.3-gke.600

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Die folgende Istio-CVE macht Cloud Service Mesh für remote ausnutzbare Sicherheitslücken angreifbar:

• CVE-2022-24726: Die Istio-Steuerungsebene (istiod) ist anfällig für einen Fehler bei der Anfrageverarbeitung. Dadurch kann ein böswilliger Angreifer, der eine spezielle Nachricht sendet, einen Absturz der Steuerungsebene verursachen, wenn der Validierungs-Webhook für einen Cluster öffentlich zugänglich gemacht wird. Dieser Endpunkt wird über TLS-Port 15017 bereitgestellt, erfordert jedoch keine Authentifizierung durch den Angreifer.

Anleitungen und weitere Informationen finden Sie im folgenden Sicherheitsbulletin:

• Cloud Service Mesh-Sicherheitsbulletin

• CVE-2022-24726

Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Update vom 28.04.2022: Es wurden Versionen von GKE on VMware hinzugefügt, die diese Sicherheitslücken beheben. Weitere Informationen finden Sie im Sicherheitsbulletin für GKE on VMware.

• CVE-2022-23606: Wenn ein Cluster über den Cluster Discovery Service (CDS) gelöscht wird, werden alle inaktiven Verbindungen zu Endpunkten in diesem Cluster getrennt. In Envoy-Version 1.19 wurde fälschlicherweise eine Rekursion in das Verfahren zum Trennen inaktiver Verbindungen eingeführt, was bei einem Cluster mit einer großen Anzahl inaktiver Verbindungen zu einer Ausschöpfung des Stacks und einem abnormalen Prozessende führen kann.
• CVE-2022-21655: Im internen Weiterleitungscode von Envoy wird davon ausgegangen, dass ein Routeneintrag vorhanden ist. Wenn eine interne Weiterleitung zu einer Route erfolgt, die einen direkten Antworteintrag und keinen Routeneintrag hat, führt dies zur Dereferenzierung eines Nullpointers und zum Absturz.
• CVE-2021-43826: Wenn Envoy für die Verwendung von tcp_proxy konfiguriert ist, die Upstream-Tunneling (über HTTP) und Downstream-TLS-Terminierung verwendet, stürzt Envoy ab, wenn der nachgelagerte Client während des TLS-Handshakes die Verbindung trennt, während der Upstream-HTTP-Stream noch eingerichtet wird. Die Downstream-Trennung kann entweder vom Client oder vom Server initiiert werden. Der Client kann die Verbindung aus beliebigem Grund trennen. Der Server wird möglicherweise getrennt, wenn er keine TLS-Chiffren oder keine TLS-Protokollversionen hat, die mit dem Client kompatibel sind. Dieser Absturz kann möglicherweise auch in anderen nachgelagerten Konfigurationen ausgelöst werden.
• CVE-2021-43825: Das Senden einer lokal generierten Antwort muss die weitere Verarbeitung von Anfrage- oder Antwortdaten beenden. Envoy überwacht die Menge der zwischengespeicherten Anfrage- und Antwortdaten und bricht die Anfrage ab, wenn die Menge der zwischengespeicherten Daten das Limit überschreitet. Dazu werden 413- oder 500-Antworten gesendet. Wenn jedoch eine lokal generierte Antwort aufgrund von internen Pufferüberläufen gesendet wird, während die Antwort von der Filterkette verarbeitet wird, wird der Vorgang möglicherweise nicht korrekt abgebrochen und es kann zu einem Zugriff auf einen freigegebenen Speicherblock kommen.
• CVE-2021-43824: Envoy stürzt ab, wenn der JWT-Filter mit der Abgleichsregel "safe_regex" und einer speziell erstellten Anfrage wie "CONNECT host:port HTTP/1.1" verwendet wird. Wenn der JWT-Filter erreicht wird, sollte eine „safe_regex“-Regel den URL-Pfad prüfen. Hier ist jedoch keine vorhanden und Envoy stürzt mit Segfaults ab.
• CVE-2022-21654: Envoy erlaubte fälschlicherweise die Wiederaufnahme von TLS-Sitzungen, nachdem die mTLS-Validierungseinstellungen neu konfiguriert wurden. Wenn ein Clientzertifikat mit der alten Konfiguration zulässig war, aber mit der neuen Konfiguration nicht, könnte der Client die vorherige TLS-Sitzung fortsetzen, obwohl dies gemäß der aktuellen Konfiguration nicht zulässig sein sollte. Änderungen an den folgenden Einstellungen sind betroffen:
  • match_subject_alt_names
  • Änderungen an der CRL
  • allow_expired_certificate
  • Trust_chain_verification
  • only_verify_leaf_cert_crl
• CVE-2022-21657: Envoy beschränkt den Satz der vom Peer akzeptierten Zertifikate, weder als TLS-Client noch als TLS-Server, auf die Zertifikate, die die erforderliche erweiterteKeyUsage (ID-kp-serverAuth bzw. id-kp-clientAuth) enthalten. Das bedeutet, dass ein Peer ein E-Mail-Zertifikat (z.B. id-kp-emailProtection) entweder als Endzertifikat oder als Zertifizierungsstelle in der Kette vorlegen kann und es für TLS akzeptiert wird. Dies ist besonders problematisch in Kombination mit CVE-2022-21656, da eine Web PKI-Zertifizierungsstelle, die nur für die Verwendung mit S/MIME vorgesehen ist und daher von der Prüfung oder Aufsicht ausgenommen ist, TLS-Zertifikate ausstellen kann, die von Envoy akzeptiert werden.
• CVE-2022-21656: Die Validierungsimplementierung, die zur Implementierung der standardmäßigen Validierungsroutinen für Zertifikate verwendet wird, weist bei der Verarbeitung von "subjectAltNames" einen Fehler wegen Typverwechslung auf. Durch diese Verarbeitung kann beispielsweise ein rfc822Name oder ein uniformResourceIndicator als Domainname authentifiziert werden. Diese Verwechslung ermöglicht das Umgehen von nameConstraints, die von der zugrunde liegenden OpenSSL-/BoringSSL-Implementierung verarbeitet werden, und eröffnet die Möglichkeit, beliebige Server zu imitieren.

• Cloud Service Mesh-Sicherheitsbulletin

• Istio on GKE-Sicherheitsbulletin

• GKE
• GKE auf VMware
• Google Distributed Cloud Virtual for Bare Metal

Folgende Envoy- und Istio-CVEs machen Cloud Service Mesh und Istio on GKE für remote Angriffe verwundbar:

• CVE-2022-23635: Istiod stürzt ab, wenn Anfragen mit einem speziell erstellten authorization-Header empfangen werden.
• CVE-2021-43824: Potenzielle Nullzeiger-Dereferenz, wenn eine Übereinstimmung mit dem JWT-Filter safe_regex verwendet wird
• CVE-2021-43825: Use-after-Free, wenn Antwortfilter die Antwortdaten erhöhen und mehr Daten die nachgelagerten Pufferlimits überschreiten.
• CVE-2021-43826: Use-after-Free, wenn TCP über HTTP getunnelt wird, wenn die Downstream-Verbindung während des Upstream-Verbindungsaufbaus unterbrochen wird.
• CVE-2022-21654: Die falsche Konfigurationsbehandlung ermöglicht die Wiederverwendung von mTLS-Sitzungen ohne erneute Validierung, nachdem sich die Validierungseinstellungen geändert haben.
• CVE-2022-21655: Falsche Verarbeitung interner Weiterleitungen an Routen mit einem direkten Antworteintrag.
• CVE-2022-23606: Stacküberlastung, wenn ein Cluster über den Cluster Discovery-Dienst gelöscht wird.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Cloud Service Mesh-Sicherheitsbulletin
• Istio on GKE-Sicherheitsbulletin.

• CVE-2022-23635
  
• CVE-2021-43824
  
• CVE-2021-43825
  
• CVE-2021-43826
  
• CVE-2022-21654
  
• CVE-2022-21655
  
• CVE-2022-23606
  

Aktualisierung vom 16.05.2022:Die GKE-Version 1.19.16-gke.7800 oder höher wurde der Liste der Versionen hinzugefügt, die Code zur Behebung dieser Sicherheitslücke enthalten. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Update vom 12.05.2022: Die Versionen GKE, GKE on VMware, GKE on AWS und GKE on Azure wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

In der Funktion cgroup_release_agent_write des Linux-Kernels wurde eine Sicherheitslücke, CVE-2022-0492, entdeckt. Der Angriff verwendet nicht privilegierte Nutzer-Namespaces und unter bestimmten Umständen kann diese Sicherheitslücke für Container-Breakouts ausgenutzt werden.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on Azure-Sicherheitsbulletin

Aktualisierung vom 25. Februar 2022:Die GKE-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin

Aktualisierung vom 23.02.2022 : Die GKE- und GKE on VMware-Versionen wurden aktualisiert. Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin

Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar.

Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) und GKE on Azure. Pods, die GKE Sandbox verwenden, sind nicht anfällig für diese Sicherheitslücken. Weitere Informationen finden Sie in den COS-Versionshinweisen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin

• CVE-2021-4154
• CVE-2021-22600
• CVE-2022-0185

Beim Parsen von Binärdaten wurde in protobuf-java ein potenzielles Denial-of-Service-Problem entdeckt.

Was soll ich tun?

Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:

• protobuf-java (3.16.1, 3.18.2, 3.19.2)
• protobuf-kotlin (3.18.2, 3.19.2)
• google-protobuf [JRuby gem] (3.19.2)

Protobuf-„javalite“-Nutzer (in der Regel Android) sind nicht betroffen.

Welche Sicherheitslücken werden mit diesem Patch behoben?

Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:

Eine Implementierungsschwäche bei der Verarbeitung unbekannter Felder in Java. Eine kleine schädliche Nutzlast (ca. 800 KB) kann den Parser mehrere Minuten lang belegen, da eine große Anzahl kurzlebiger Objekte erstellt wird, die häufige, wiederholte Pausen der automatischen Speicherbereinigung verursachen.

Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin zu Google Distributed Cloud Virtual for Bare Metal

Es gibt ein bekanntes Problem, das Auftritt, wenn eine BackendConfig-Ressource mithilfe der v1beta1 API aktualisiert wird, was dazu führen kann, dass eine aktive Google Cloud Armor-Sicherheitsrichtlinie aus ihrem Dienst entfernt wird.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Im AIS-LDAP-Modul (Anthos Identity Service) von GKE auf VMware-Versionen 1.8 und 1.8.1 wurde eine Sicherheitslücke entdeckt, bei der ein Quellschlüssel zum Generieren von Schlüsseln vorhersehbar ist. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren.

Anleitungen und weitere Informationen finden Sie im GKE auf VMware-Sicherheitsbulletin.

In Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Gemäß dem VMware-Sicherheitshinweis VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß dem VMware-Sicherheitshinweis auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0002
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Bestimmte Google Cloud-Load-Balancer, die Weiterleitungen an einen für das Identity-Aware Proxy (IAP) aktivierten Backend-Dienst vornehmen, können unter bestimmten Bedingungen von einer nicht vertrauenswürdige Partei missbraucht werden. Damit wurde ein über das Prämienprogramm für die Meldung von Sicherheitslücken gemeldetes Problem behoben.

• HTTP(S)-Load-Balancer waren und
• ein Standard-Backend oder ein Backend mit einer Platzhalter-Hostzuordnungsregel (d. h. host="*") nutzten

Darüber hinaus musste ein Nutzer in Ihrer Organisation auf einen speziell erstellten Link geklickt haben, der von einer nicht vertrauenswürdigen Partei gesendet wurde.

Dieses Problem wurde behoben. IAP wurde am 17. September 2021 so aktualisiert, dass Cookies nur noch für autorisierte Hosts ausgegeben werden. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load-Balancern installiert sind.

Was muss ich tun?

Einigen Ihrer Nutzer:innen wird möglicherweise beim Versuch, auf Anwendungen oder Dienste zuzugreifen, die Antwort „HTTP 401 – Unauthorized“ mit dem IAP-Fehlercode 52 angezeigt. Dieser Fehlercode bedeutet, dass der Client einen Host-Header gesendet hat, der nicht mit einem der Subject-Alternative-Namen übereinstimmt, die mit den SSL-Zertifikaten des Load-Balancers verknüpft sind. Load-Balancer-Administratoren müssen das SSL-Zertifikat aktualisieren, damit die SAN (Subject Alternative Name)-Liste alle Hostnamen enthält, über die Nutzer auf IAP-geschützte Anwendungen oder Dienste zugreifen. Hier finden Sie weitere Informationen zu IAP-Fehlercodes.

Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Aktualisierung vom 23. 09. 2021: Container, die in der GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke für Angriffe aus dem Container nicht betroffen.

Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu).

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin.
• GKE on AWS-Sicherheitsbulletin

Die folgenden CVEs für Envoy und Istio machen Cloud Service Mesh und Istio on GKE für remote ausnutzbare Sicherheitslücken angreifbar:

• CVE-2021-39156: HTTP-Anfragen mit einem Fragment (einem Abschnitt am Ende eines URI, der mit einem #-Zeichen beginnt) im URI-Pfad können die pfadbasierten Autorisierungsrichtlinien von Istio umgehen.
• CVE-2021-39155: HTTP-Anfragen können möglicherweise eine Istio-Autorisierungsrichtlinie umgehen, wenn Sie Regeln auf Grundlage von hosts oder notHosts verwenden.
• CVE-2021-32781: Wirkt sich auf die Envoy-Erweiterungen decompressor, json-transcoder oder grpc-web oder auf proprietäre Erweiterungen aus, die die Anfrage- oder Antworttexte ändern und vergrößern. Das Ändern und Erhöhen der Textgröße in der Envoy-Erweiterung über die interne Puffergröße hinaus kann dazu führen, dass Envoy auf den freigegebenen Speicher zugreift und anormal beendet wird.
• CVE-2021-32780: Ein nicht vertrauenswürdiger Upstream-Dienst kann dazu führen, dass Envoy ungewöhnlich beendet wird, indem der GOAWAY-Frame gefolgt vom SETTINGS-Frame gesendet wird, wobei der Parameter SETTINGS_MAX_CONCURRENT_STREAMS auf 0 gesetzt ist. (Nicht anwendbar auf Istio on GKE)
• CVE-2021-32778: Ein Envoy-Client, der eine große Anzahl von HTTP/2-Anfragen öffnet und dann zurückgesetzt, kann zu einem übermäßigen CPU-Verbrauch führen. (Nicht anwendbar auf Istio on GKE)
• CVE-2021-32777: HTTP-Anfragen mit mehreren Wert-Headern können bei Verwendung der ext_authz-Erweiterung eine unvollständige Prüfung der Autorisierungsrichtlinie bedingen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• Cloud Service Mesh-Sicherheitsbulletin
• Istio on GKE-Sicherheitsbulletin.

• CVE-2021-39156
• CVE-2021-39155
• CVE-2021-32781
• CVE-2021-32780
• CVE-2021-32778
• CVE-2021-32777

Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit CAP_NET_ADMIN-Berechtigungen potenziell eine Container-Aufschlüsselung zum Root auf dem Host verursachen kann. Diese Sicherheitslücke betrifft alle GKE-Cluster und GKE on VMware, auf denen Linux Version 2.6.19 oder höher ausgeführt wird.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin.
• GKE on VMware-Sicherheitsbulletin.

Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Das Istio-Projekt hat vor Kurzem eine Sicherheitslücke gemeldet, über die auf in den Feldern "Gateway" und "DestinationRule credentialName" angegebenen Anmeldedaten von verschiedenen Namespaces aus zugegriffen werden kann.

Produktspezifische Anleitungen und weitere Informationen finden Sie unter:

• Cloud Service Mesh-Sicherheitsbulletin
• GKE Enterprise-Sicherheitsbulletin GCP-2021-012 für Informationen speziell zu Google Kubernetes Engine, Google Distributed Cloud Virtual for Bare Metal und GKE on VMware.

Aktualisierung 19.10.2021:

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in runc enthalten ist und möglicherweise einen vollständigen Zugriff auf ein Knotendateisystem ermöglicht.

Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet.

Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin.

Gemäß VMware-Sicherheitshinweis VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben die von VMware bereitgestellten Patches gemäß dem VMware-Sicherheitshinweis für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen, die in Ihrer privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Patches hinweisen. Sie können sich darauf verlassen, dass entsprechende Patches installiert und Ihre Umgebung vor diesen Sicherheitslücken geschützt wird.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann, über die ein externer Client auf unerwartete Dienste im Cluster zugreifen kann. Dabei werden Autorisierungsprüfungen umgangen, wenn ein Gateway mit der Routingkonfiguration AUTO_PASSTHROUGH konfiguriert ist.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Hoch

Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen (%2F oder %5C) unter Umständen eine Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Anleitungen und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin.

Hoch

Das Istio-Projekt hat kürzlich eine neue Sicherheitslücke gemeldet (CVE-2021-31920), die Istio betrifft.

Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der eine HTTP-Anfrage mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen die Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin

Hoch

Eine gemeldete Sicherheitslücke hat gezeigt, dass Envoy die maskierten Schrägstrich-Sequenzen %2F und %5C in HTTP-URL-Pfaden in den Envoy-Versionen bis 1.18.2 nicht decodiert. Darüber hinaus aktivieren einige Envoy-basierte Produkte keine Steuerelemente zur Pfadnormalisierung. Ein Remote-Angreifer kann einen Pfad mit maskierten Schrägstrichen erstellen (z. B. /something%2F..%2Fadmin,), um die Zugriffssteuerung zu umgehen (z. B. einen Block auf /admin). Ein Backend-Server könnte dann die Schrägstrich-Sequenzen decodieren und den Pfad normalisieren, um Angreifern Zugriff über den durch die Zugriffssteuerungsrichtlinie zugelassenen Umfang hinaus zu ermöglichen.

Was soll ich tun?

Wenn Backend-Server / und %2F oder \ und %5C austauschbar behandeln und ein URL-Pfad-basierter Abgleich konfiguriert ist, empfehlen wir, den Backend-Server so neu zu konfigurieren, dass er \ und %2F oder \ und %5C nicht mehr austauschbar behandelt, wenn möglich.

Welche Verhaltensänderungen wurden eingeführt?

Die Optionen normalize_path und angrenzende Schrägstriche zusammenführen von Envoy wurden aktiviert, um andere gängige Sicherheitslücken im Zusammenhang mit der Verwechslung von Pfaden in Envoy-basierten Produkten zu beheben.

Hoch

In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken gemeldet (CVE-2021-28683, CVE-2021-28682 und CVE-2021-29258), die es einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen.

In Google Kubernetes Engine-Clustern wird Istio nicht standardmäßig ausgeführt und daher sind sie nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein.

Google Distributed Cloud Virtual for Bare Metal und GKE on VMware verwenden standardmäßig Envoy für Ingress, sodass Ingress-Dienste anfällig für Denial of Service sind.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Mittel

• CVE-2021-28683
• CVE-2021-28682
• CVE-2021-29258

Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke (CVE-2021-25735) bekanntgegeben. Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.

In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Node-Objektattribute wie z. B. Felder in Node.NodeSpec verwendet, kann der Angreifer Aktualisierungen von Attributen eines Knotens vornehmen. Dies führt eventuell zu einer Clustermanipulation. Keine der Richtlinien, die von GKE und von den integrierten Zulassungs-Controllern von Kubernetes erzwungen werden, sind davon betroffen. Wir empfehlen Kunden aber, alle zusätzlich installierten Zulassungs-Webhooks zu prüfen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal

Mittel

CVE-2021-25735

Im VMware-Sicherheitshinweis VMSA-2021-0002 hat VMware Berichte über mehrere Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben.

Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend dem VMware-Sicherheitshinweis bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind.

Auswirkungen auf VMware Engine

Unsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren.

Was soll ich tun?

Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974

Im Linux-Dienstprogramm sudo wurde eine Sicherheitslücke entdeckt, die in CVE-2021-3156 beschrieben wurde. Dies könnte einem Angreifer mit nicht privilegierten lokalen Shell-Zugriff auf einem System mit installiertem sudo ermöglichen, seine Berechtigungen auf das Root-System auszuweiten.

Die zugrunde liegende Infrastruktur, auf der Compute Engine ausgeführt wird, ist von dieser Sicherheitslücke nicht betroffen.

Alle Cluster von Google Kubernetes Engine (GKE), GKE on VMware, GKE on AWS und Google Distributed Cloud Virtual for Bare Metal sind von dieser Sicherheitslücke nicht betroffen.

Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin
• Sicherheitsbulletin für Google Distributed Cloud Virtual for Bare Metal
• Compute Engine-Sicherheitsbulletin

Aktualisiert am 22.12.2021: Der Befehl für GKE im folgenden Abschnitt sollte gcloud beta anstelle des Befehls gcloud verwenden.

gcloud container clusters update –no-enable-service-externalips

1. Ab GKE-Version 1.21 werden Dienste mit externen IP-Adressen durch einen DenyServiceExternalIPs-Admission-Controller blockiert, der standardmäßig für neue Cluster aktiviert ist.
2. Kunden, die ein Upgrade auf die GKE-Version 1.21 ausführen, können mit dem folgenden Befehl Dienste mit ExternalIPs blockieren:

   gcloud container clusters update –no-enable-service-externalips
   

Weitere Informationen finden Sie unter Clustersicherheit härten.

Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes.

Alle Google Kubernetes Engine (GKE)-, GKE on VMware- und GKE on AWS-Cluster sind von dieser Sicherheitslücke betroffen.

What should I do?

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin

Mittel

Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:

• CVE-2020-8563: Schwachstellen bei Secrets in Logs für den kube-controller-manager des vSphere-Anbieters
• CVE-2020-8564: Schwachstellen bei Docker-Konfigurations-Secrets, wenn die Datei fehlerhaft und loglevel >= 4 ist
• CVE-2020-8565: Unvollständige Fehlerkorrektur für CVE-2019-11250 in Kubernetes ermöglicht Schwachstellen bei Tokens in Logs mit logLevel >= 9. Von GKE-Sicherheit erkannt.
• CVE-2020-8566: adminSecrets von Ceph RBD in Logs mit loglevel >= 4 offengelegt

Was soll ich tun?

Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich.

–

• CVE-2020-8563
• CVE-2020-8564
• CVE-2020-8565
• CVE-2020-8566

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) ist nicht betroffen.

GKE On-Prem

GKE On-Prem ist nicht betroffen.

GKE on AWS

GKE on AWS ist nicht betroffen.

CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen.

NVD Base Score: 10 (Kritisch)

CVE-2020-1472

Compute Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten darauf achten, dass auf ihre Instanzen der neueste Windows-Patch aufgespielt wurde oder sie nach dem 17.08.2020 veröffentlichte Windows Server-Images nutzen (Version 20200813 oder höher).

Google Kubernetes Engine

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die Domain-Controller in ihren GKE Windows Server-Knoten hosten, sollten sicherstellen, dass sowohl die Knoten als auch die Arbeitslasten in den Containern, die auf diesen Knoten ausgeführt werden, das neueste Windows-Knoten-Image haben, wenn es verfügbar ist. Eine neue Node-Image-Version wird im Oktober in den GKE-Versionshinweisen angekündigt.

Managed Service for Microsoft Active Directory

CVE-2020-1472

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Der von Microsoft veröffentlichte August-Patch, der Korrekturen an dem NetLogon-Protokoll enthält, wurde auf alle verwalteten Microsoft AD-Domaincontroller angewendet. Dieser Patch bietet Funktionen zum Schutz vor potenziellen Angriffen. Der rechtzeitige Einsatz von Patches ist einer der Hauptvorteile des Managed Service for Microsoft Active Directory. Kunden, die Microsoft Active Directory manuell ausführen (und nicht den verwalteten Google Cloud-Dienst verwenden) sollten darauf achten, dass ihre Instanzen den neuesten Windows-Patch aufgespielt haben oder Windows Server-Images verwenden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run-Funktionen

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten.

Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE on AWS-Sicherheitsbulletin

Hoch

CVE-2020-14386

Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin

Niedrig (GKE und GKE in AWS),
Mittel (GKE in VMware)

CVE-2020-8558

CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden.

NVD Base Score: 10.0 (Kritisch)

CVE-2020-1350

Compute Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen verwenden, auf denen Windows Server in einer DNS-Serverkapazität ausgeführt wird, sollten darauf achten, dass ihre Instanzen über den neuesten Windows-Patch verfügen oder Windows Server-Images verwenden, die seit dem 14.07.2020 bereitgestellt werden.

Google Kubernetes Engine

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten in einer DNS-Serverkapazität verwenden, müssen die Knoten und die containerisierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, manuell auf eine Windows-Serverversion aktualisieren, die die Fehlerbehebung beinhaltet.

Managed Service for Microsoft Active Directory

CVE-2020-1350

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 14. Juli 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run-Funktionen

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen.

Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin

Mittel

CVE-2020-8559

Beschreibung

VMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren.

Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

• CVE-2020-8903
• CVE-2020-8907
• CVE-2020-8933

Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin

Mittel

CVE-2020-8555

Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen.

Eine Anleitung und weitere Informationen finden Sie unter:

• GKE-Sicherheitsbulletin
• GKE on VMware-Sicherheitsbulletin
• GKE auf AWS-Sicherheitsbulletin

Mittel

Kubernetes-Problem 91507

Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten.

GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich ein Upgrade auf die neueste Patchversion durchzuführen.

Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Hoch

CVE-2020-8835

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2019-11254

CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft.

Mittel

CVE-2020-8551

CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft.

Mittel

CVE-2020-8552

CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln.

NVD Base Score: 8,1 (hoch)

CVE-2020-0601

Compute Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die virtuelle Compute Engine-Maschinen mit Windows Server verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden. Weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.

Google Kubernetes Engine

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Kunden, die GKE mit Windows Server-Knoten verwenden, müssen sowohl die Knoten als auch die containerbasierten Arbeitslasten, die auf diesen Knoten ausgeführt werden, auf gepatchte Versionen aktualisieren, um diese Sicherheitslücke zu verringern. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.

Managed Service for Microsoft Active Directory

CVE-2020-0601

Für die meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Alle verwalteten Microsoft AD-Domains wurden automatisch mit dem gepatchten Image aktualisiert. Alle Kunden, die Microsoft Active Directory manuell ausführen und Managed Microsoft AD nicht verwenden, sollten dafür sorgen, dass ihre Instanzen den neuesten Windows-Patch haben oder Windows Server-Images verwenden, die seit dem 15. Januar 2020 bereitgestellt werden.

Google Workspace

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

App Engine-Standardumgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Flexible App Engine-Umgebung

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Run-Funktionen

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud Composer

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataflow

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Dataproc

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

Cloud SQL

Auf Kundenseite sind keine Maßnahmen erforderlich.

Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen.

CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS).

Mittel

CVE-2019-11135

CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt.

Mittel

CVE-2018-12207

Compute Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

N2-, C2- oder M2-Kunden, die auf virtuellen Maschinen von Compute Engine für ihre eigenen Dienste mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten ihre VMs beenden und wieder starten, um zu gewährleisten, dass die neuesten Sicherheitsmaßnahmen vorliegen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Google Kubernetes Engine

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Wenn Sie Knotenpools mit N2-, M2- oder C2-Knoten verwenden und für diese Knoten in Ihren eigenen GKE-Clustern mit mehreren Mandanten nicht vertrauenswürdigen Code ausführen, sollten Sie Ihre Knoten neu starten. Wenn Sie alle Knoten in Ihrem Knotenpool neu starten möchten, müssen Sie den betroffenen Knotenpool aktualisieren.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

App Engine-Standardumgebung

Es sind keine weiteren Maßnahmen erforderlich.

Flexible App Engine-Umgebung

CVE-2019-11135

Es sind keine weiteren Maßnahmen erforderlich.

Kunden sollten sich die Best Practices von Intel bezüglich der Freigabe auf Anwendungsebene durchlesen. Diese kann innerhalb einer Flex-VM zwischen Hyperthreads auftreten.

CVE-2018-12207

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Run

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Run-Funktionen

Es sind keine weiteren Maßnahmen erforderlich.

Cloud Composer

Es sind keine weiteren Maßnahmen erforderlich.

Dataflow

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Dataflow-Kunden, die mehrere von Dataflow verwaltete, nicht vertrauenswürdige Arbeitslasten auf N2-, C2- oder M2-VMs in Compute Engine ausführen und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten alle aktuell ausgeführten Streamingpipelines neu starten. Optional können Batchpipelines beendet und neu ausgeführt werden. Für Pipelines, die nach dem heutigen Datum gestartet werden, sind keine Maßnahmen erforderlich.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Dataproc

CVE-2019-11135

Bei den meisten Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud Dataproc-Kunden, die mehrere nicht vertrauenswürdige Arbeitslasten auf demselben Cloud Dataproc-Cluster ausführen, der auf N2-, C2- oder M2-VMs in Compute Engine ausgeführt wird, und sich Sorgen um interne Angriffe von Gast-VMs machen, sollten ihre Cluster neu bereitstellen.

CVE-2018-12207

Vonseiten der Kunden sind keine weiteren Maßnahmen erforderlich.

Cloud SQL

Es sind keine weiteren Maßnahmen erforderlich.