보안 게시판

다음은 Google Cloud 제품과 관련된 보안 게시판입니다.

이 XML 피드를 사용하여 이 페이지의 보안 게시판을 구독합니다. 구독

GCP-2024-064

게시: 2024년 12월 10일

설명 심각도 참고

VMware 보안 권고 VMSA-2024-0022에 따라 VMware Aria Operations의 여러 취약점이 VMware에 책임감 있게 보고되었습니다. 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트가 제공됩니다.

어떻게 해야 하나요?

VMware Aria Operations 8.18.2로 업그레이드하는 것이 좋습니다.

중요

GCP-2024-063

게시: 2024년 12월 6일

설명 심각도 참고

Gemini 멀티모달 요청을 제공하는 Vertex AI API에서 취약점이 발견되어 VPC 서비스 제어를 우회할 수 있었습니다. 공격자가 API의 fileURI 매개변수를 악용하여 데이터를 유출할 수 있습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다. fileUri 매개변수에 미디어 파일 URL이 지정되고 VPC 서비스 제어가 사용 설정된 경우 오류 메시지를 반환하는 수정사항이 구현되었습니다. 다른 사용 사례는 영향을 받지 않습니다.

해결되는 취약점은 무엇인가요?

Gemini 멀티모달 요청을 제공하는 Cloud Support API를 사용하면 fileUri 매개변수에 미디어 파일의 URL을 지정하여 미디어 파일을 포함할 수 있습니다. 이 기능을 사용하면 VPC 서비스 제어 경계를 우회할 수 있습니다. 서비스 경계 내의 공격자가 fileURI 매개변수에 민감한 정보를 인코딩하여 서비스 경계를 우회할 수 있습니다.

보통 CVE-2024-12236

GCP-2024-062

게시: 2024년 12월 2일

설명

설명 심각도 참고

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-46800

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-46800

GCP-2024-061

게시: 2024년 11월 25일

설명

설명 심각도 참고

Kubernetes 클러스터에서 발견된 보안 문제로 인해 gitRepo 볼륨을 사용하여 원격 코드가 실행될 수 있습니다. git 저장소가 악의적으로 구성된 경우 Pod를 만들고 gitRepo 볼륨을 연결할 수 있는 사용자는 컨테이너 경계를 넘어 임의의 명령어를 실행할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-10220

GCP-2024-060

게시: 2024-10-17

설명 심각도 참고

VMware 보안 권고 VMSA-2024-0020에 따라 VMware NSX의 여러 취약점이 VMware에 책임감 있게 보고되었습니다.

VMware Engine 환경에서 실행되는 NSX-T 버전은 CVE-2024-38815, CVE-2024-38818 또는 CVE-2024-38817의 영향을 받지 않습니다.

어떻게 해야 하나요?

VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

보통

GCP-2024-059

게시: 2024-10-16

설명 심각도 참고

VMware 보안 권고 VMSA-2024-0021에 따라 VMware HCX의 인증된 SQL 삽입 취약점이 VMware에 비공개로 보고되었습니다.

이 취약점을 해결하기 위해 VMware에서 승인한 완화 조치를 적용했습니다. 이 수정사항은 CVE-2024-38814에 설명된 보안 취약점을 해결합니다. VMware Engine 프라이빗 클라우드에서 실행되는 이미지 버전은 적용된 변경사항을 나타내는 현재의 변경사항을 반영하지 않습니다. 적절한 완화 조치가 설치되었으며 이 취약점으로부터 환경이 보호되고 있습니다.

어떻게 해야 하나요?

VMware HCX 버전 4.9.2로 업그레이드하는 것이 좋습니다.

높음

GCP-2024-058

게시: 2024-10-16

설명

설명 심각도 참고

Windows용 Migrate to Containers 버전 1.1.0~1.2.2에서 관리자 권한이 있는 로컬 m2cuser가 생성되었습니다. 이로 인해 analyze 또는 generate 명령어가 사용자에 의해 중단되거나 내부 오류로 인해 로컬 사용자 m2cuser 삭제 작업이 생략되면 보안 위험이 발생했습니다.

어떻게 해야 하나요?

다음 Windows용 Migrate to Containers CLI 버전은 이 취약점을 해결하기 위한 코드로 업데이트되었습니다. Migrate to Containers CLI를 다음 버전 이상으로 수동으로 업그레이드하는 것이 좋습니다.

해결되는 취약점은 무엇인가요?

이 취약점(CVE-2024-9858)을 통해 공격자는 Migrate to Containers 소프트웨어에서 만든 로컬 관리자 사용자를 사용하여 영향을 받는 Windows 머신에 대한 관리자 액세스 권한을 얻을 수 있습니다.

보통 CVE-2024-9858

GCP-2024-057

게시: 2024-10-03

업데이트: 2024년 11월 19일

설명

설명 심각도 참고

2024년 11월 19일 업데이트: GKE용 Ubuntu 노드 풀의 패치 버전이 추가되었습니다.

2024-10-15 업데이트: GDC(VMware)의 패치 버전이 추가되었습니다. GKE 및 GDC(VMware) 심각도 수준을 업데이트했습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-45016

자세한 내용 및 안내는 다음 게시판을 참조하세요.

보통 CVE-2024-45016

GCP-2024-056

게시: 2024-09-27

설명

설명 심각도 참고

일부 Linux 배포판에서 사용하는 CUPS 인쇄 시스템에서 원격 코드 실행을 초래할 수 있는 취약점 체인(CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177)이 발견되었습니다. CUPS 서비스가 UDP 포트 631에서 리슨 중이고 공격자가 이 포트에 연결할 수 있는 경우 공격자가 이 취약점을 악용할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

없음

GCP-2024-055

게시: 2024-09-24

설명

설명 심각도 참고

Looker의 HTTP 요청 스머글링 취약점으로 인해 승인되지 않은 공격자가 승인된 사용자를 대상으로 하는 HTTP 응답을 캡처할 수 있었습니다.

Looker에서 호스팅하는 Looker 버전에는 두 가지가 있습니다.

  • Looker(Google Cloud 핵심 서비스)에 취약한 것으로 확인되었습니다. 이 문제는 이미 완화되었으며 조사 결과, 익스플로잇 징후는 발견되지 않았습니다.
  • Looker(원본)는 이 이슈에 취약하지 않았습니다.

고객 호스팅 Looker 인스턴스가 취약한 것으로 확인되어 아래 버전 중 하나로 업그레이드해야 합니다.

이 취약점은 Looker 다운로드 페이지에서 다운로드할 수 있는 모든 지원되는 고객 호스팅 Looker 버전에서 패치되었습니다.

어떻게 해야 하나요?

  • Looker(Google Cloud 핵심 서비스) 인스턴스를 포함한 모든 Looker 호스팅 인스턴스의 경우 취해야 할 조치가 없습니다.
  • Looker 고객 호스팅 인스턴스의 경우 지원되는 최신 Looker 버전으로 최대한 빨리 업데이트합니다. 아래의 버전은 모두 이 취약점으로부터 보호되도록 업데이트되었습니다. Looker 다운로드 페이지에서 다음 버전을 다운로드할 수 있습니다.
    • 23.12 -> 23.12.123+
    • 23.18 -> 23.18.117+
    • 24.0 -> 24.0.92+
    • 24.6 -> 24.6.77+
    • 24.8 -> 24.8.66+
    • 24.10 -> 24.10.78+
    • 24.12 -> 24.12.56+
    • 24.14 -> 24.14.37+

해결되는 취약점은 무엇인가요?

이 취약점(CVE-2024-8912)을 통해 공격자가 조작된 HTTP 요청 헤더를 Looker에 전송할 수 있으며, 이로 인해 다른 사용자를 대상으로 한 HTTP 응답의 가로채기가 발생할 수 있습니다.

이러한 응답에는 민감한 정보가 포함될 수 있습니다.

이 취약점은 특정 구성에서만 악용될 수 있습니다.

보통 CVE-2024-8912

GCP-2024-054

게시: 2024-09-23

설명

설명 심각도 참고

Windows 노드가 있는 Kubernetes 클러스터에서 BUILTIN\Users가 컨테이너 로그를 읽을 수 있고 NT AUTHORITY\Authenticated 사용자가 컨테이너 로그를 수정할 수 있는 보안 문제가 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

보통 CVE-2024-5321

GCP-2024-053

게시: 2024-09-19

설명

설명 심각도 참고

Protobuf Java Full 및 Lite 라이브러리에서 알 수 없는 필드를 파싱할 때 악의적으로 조작된 메시지로 인해 StackOverflow 오류가 발생하고 프로그램이 비정상 종료될 수 있습니다.

어떻게 해야 하나요?

Google은 이 이슈를 해결하기 위해 최선을 다했으며 현재 사용 가능한 완화 조치를 출시했습니다. 다음 소프트웨어 패키지의 최신 버전을 사용하는 것이 좋습니다.

  • protobuf-java(3.25.5, 4.27.5, 4.28.2)
  • protobuf-javalite(3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin(3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin-lite(3.25.5, 4.27.5, 4.28.2)
  • com-protobuf[JRuby gem만 해당](3.25.5, 4.27.5, 4.28.2)

이 패치로 어떤 취약점이 해결되나요?

이 취약점은 잠재적인 서비스 거부입니다.

DiscardUnknownFieldsParser 또는 Java Protobuf Lite 파서를 사용하여 중첩된 그룹을 알 수 없는 필드로 파싱하거나 Protobuf 맵 필드에 대해 파싱하면 공격자가 악용할 수 있는 제한되지 않은 재귀가 발생합니다.

CVSS4.0 점수 8.7

높음

CVE-2024-7254

GCP-2024-052

설명

설명 심각도 참고

다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.

  • CVE-2024-45807: OnBeginHeadersForStream에서 oghttp2 비정상 종료
  • CVE-2024-45808: 액세스 로그를 통한 악성 로그 삽입
  • CVE-2024-45806: 외부 소스에서 `x-envoy` 헤더를 조작할 수 있음
  • CVE-2024-45809: 원격 JWK가 있는 명확한 경로 캐시에서 JWT 필터 비정상 종료
  • CVE-2024-45810: HTTP 비동기 클라이언트의 LocalReply에 대해 Envoy 비정상 종료

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

중간~높음

GCP-2024-051

게시: 2024년 9월 18일

설명 심각도 참고

VMware에서 고객 환경에 배포된 vCenter 구성요소에 영향을 주는 VMSA-2024-0019의 여러 취약점이 공개되었습니다.

VMware Engine의 영향

  • Google은 이미 이 취약점이 악용될 가능성을 방지했습니다. 예를 들어 Google은 이 취약점이 악용될 수 있는 포트를 차단했습니다.
  • 또한 Google은 이후의 모든 vCenter 배포가 이 취약점에 노출되지 않도록 보장합니다.

어떻게 해야 하나요?

현재 추가 조치는 필요 없습니다.

심각

GCP-2024-050

게시: 2024-09-04

설명

설명 심각도 참고

Windows에서 새로운 원격 코드 실행 취약점(CVE-2024-38063)이 발견되었습니다. 공격자는 특수하게 만들어진 IPv6 패킷을 호스트로 전송하여 이 취약점을 원격으로 악용할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

없음 CVE-2024-38063

GCP-2024-049

게시: 2024년 8월 21일

업데이트: 2024년 11월 1일

설명

설명 심각도 참고

2024년 11월 1일 업데이트: GKE용 Ubuntu 노드 풀의 패치 버전이 추가되었습니다.

2024년 10월 21일 업데이트: GDC(VMware)의 패치 버전이 추가되고 심각도가 업데이트되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-36978

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-36978

GCP-2024-048

게시: 2024-08-20

업데이트: 2024-10-30

설명

설명 심각도 참고

2024-10-30 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.

2024-10-25 업데이트: GDC(VMware)의 패치 버전이 추가되고 심각도가 업데이트되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-41009

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-41009

GCP-2024-047

게시: 2024-08-19

업데이트: 2024-10-30

설명

설명 심각도 참고

2024-10-30 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.

2024-10-21 업데이트: GDC(VMware)의 패치 버전이 추가되고 심각도가 업데이트되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-39503

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-39503

GCP-2024-046

게시: 2024년 8월 5일

설명

설명 심각도 참고

AMD는 AMD EPYC 3세대(Milan) 및 4세대(Genoa) CPU의 SEV-SNP에 영향을 미치는 3가지 새로운 펌웨어 취약점(위험도 중간 2개, 위험도 높음 1개)에 대해 Google에 알렸습니다.

Google은 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정 사항을 적용했습니다. 현재까지 이에 대한 악용 증거는 Google에서 발견되거나 보고되지 않았습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. 수정 사항은 이미 Google 서버 제품군에 적용되었습니다.

자세한 내용은 AMD 보안 권고 AMD-SN-3011을 참조하세요.

중간-높음

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-045

게시: 2024년 7월 17일

업데이트: 2024-09-19

설명

설명 심각도 참고

2024-09-19 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다.


2024년 8월 21일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26925

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26925

GCP-2024-044

게시: 2024년 7월 16일

업데이트: 2024-10-30

설명

설명 심각도 참고

2024-10-30 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.

2024-10-21 업데이트: GDC(VMware)의 패치 버전이 추가되고 심각도가 업데이트되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-36972

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-36972

GCP-2024-043

게시: 2024년 7월 16일

업데이트: 2024-10-02

설명

설명 심각도 참고

2024-10-02 업데이트:: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.


2024-09-20 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26921

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26921

GCP-2024-042

게시: 2024년 7월 15일

업데이트: 2024년 7월 18일

설명

설명 심각도 참고

2024년 7월 18일 업데이트: 기본 구성의 Autopilot 클러스터는 영향을 받지 않는다는 점을 명확히 했습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26809

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26809

GCP-2024-041

게시: 2024년 7월 8일

업데이트: 2024-09-16

설명

설명 심각도 참고

2024-09-16 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다.


2024년 7월 19일 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-52654
  • CVE-2023-52656

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음

GCP-2024-040

게시: 2024년 7월 1일

업데이트: 2024년 7월 16일

설명

설명 심각도 참고

2024-07-16 업데이트:

일부 서버리스 VPC 액세스 고객은 OpenSSH의 취약점(CVE-2024-6387)에 영향을 받을 수 있습니다. 취약점 공격이 성공하면 인증되지 않은 원격 공격자가 대상 머신에서 임의의 코드를 루트로 실행할 수 있습니다. 익스플로잇은 어려운 것으로 간주됩니다. 예를 들어 고객이 VM에 액세스할 수 없고 VM에 공개 IP가 없는 경우 익스플로잇 시도는 확인되지 않았습니다.

어떻게 해야 하나요?

Google에서 가능한 경우 서버리스 VPC 액세스 배포를 자동으로 업데이트했습니다. 하지만 Google 관리형 서비스 에이전트에 필요한 역할이 있는지 확인해야 합니다. 그러지 않으면 서버리스 VPC 액세스 커넥터가 여전히 취약할 수 있습니다. 직접 VPC 이그레스로 마이그레이션하거나 새 커넥터를 배포하고 이전 커넥터를 삭제하여 수정사항이 포함된 필수 업데이트가 있는지 확인하는 것이 좋습니다.


2024년 7월 11일 업데이트: VMware용 GDC 소프트웨어, AWS용 GKE, Azure용 GKE의 패치 버전이 추가되었습니다. 자세한 내용은 GKE 문서의 다음 게시판을 참조하세요.


2024-07-10 업데이트:

  • Migrate to Virtual Machines용 보안 게시판이 추가되었습니다.

2024-07-09 업데이트:

일부 App Engine 가변형 환경 고객은 OpenSSH의 취약점(CVE-2024-6387)에 영향을 받을 수 있습니다. 취약점 공격이 성공하면 인증되지 않은 원격 공격자가 대상 머신에서 임의의 코드를 루트로 실행할 수 있습니다.

어떻게 해야 하나요?

Google에서는 가능한 경우 가변형 환경 배포를 이미 자동으로 업데이트하고 있습니다. 하지만 Google 관리형 서비스 에이전트를 사용 중지했거나 Google Cloud API 또는 기타 기본 구성을 변경한 일부 고객은 업데이트되지 않았으며 여전히 취약할 수 있습니다. 새 버전의 앱을 배포하여 수정사항이 포함된 업데이트를 적용해야 합니다.

업데이트된 배포에서는 SSH 버전 OpenSSH_9.6p1을 보고합니다. 이 버전은 CVE-2024-6387에 대한 수정사항이 패치된 버전입니다.

해결되는 취약점은 무엇인가요?

인증되지 않은 원격 공격자가 대상 머신에서 임의의 코드를 루트로 실행할 수 있는 취약점 CVE-2024-6387입니다.


2024-07-08 업데이트:

이미지 버전 2.2(모든 운영체제) 및 2.1(Debian만 해당)에서 실행되는 Google Compute Engine의 Dataproc 클러스터는 OpenSSH의 취약점(CVE-2024-6387)으로 인한 영향을 받습니다. 이 취약점으로 인해 인증되지 않은 원격 공격자가 대상 머신에서 임의의 코드를 루트로 실행할 수 있습니다.

Google Compute Engine의 Dataproc 이미지 버전 2.0 및 1.5와 Debian에서 실행되지 않는 Dataproc 이미지 버전 2.1은 영향을 받지 않습니다. 개인 인증이 사용 설정된 Dataproc 클러스터는 영향을 받지 않습니다. Dataproc 서버리스도 영향을 받지 않습니다.

어떻게 해야 하나요?

Google Compute Engine의 Dataproc 클러스터를 다음 버전 중 하나로 업데이트하세요.

  • 2.2.24 이상
  • 2.1.58 이상

Dataproc 클러스터를 위 버전 중 하나로 업데이트할 수 없는 경우 다음 위치에서 사용 가능한 초기화 작업을 사용하는 것이 좋습니다. gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Dataproc의 초기화 작업을 지정하는 방법에 관한 안내를 따르세요. 기존 클러스터의 경우 모든 노드(마스터 및 워커)에서 초기화 작업을 실행해야 합니다.


2024-07-03 업데이트:

  • GKE의 패치 버전이 추가되었습니다.
  • 연결된 GDC의 보안 게시판이 추가되었습니다.

2024-07-02 업데이트:

  • Autopilot 클러스터가 영향을 받았으며 사용자 조치가 필요하다는 점을 명확히 했습니다.
  • VMware용 GDC 소프트웨어, AWS의 GKE, Azure용 GKE에 대한 영향 평가 및 완화 단계가 추가되었습니다.
  • 베어메탈용 GDC 소프트웨어가 직접 영향을 받지 않았으며 고객이 OS 공급업체에 패치를 확인해야 함을 명확히 하기 위해 베어메탈용 GDC 소프트웨어 보안 게시판이 수정되었습니다.


최근 OpenSSH에서 원격 코드 실행 취약점 CVE-2024-6387이 발견되었습니다. 이 취약점은 원격 셸에 대한 액세스 권한을 얻는 경합 상태를 악용하여 공격자가 루트 액세스 권한을 얻을 수 있게 합니다. 현재 발표 시점 기준으로, 익스플로잇이 어렵고 공격이 이루어지는 데 머신당 몇 시간이 걸리는 것으로 판단됩니다. 익스플로잇 시도는 확인되지 않았습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

심각 CVE-2024-6387

GCP-2024-039

게시: 2024년 6월 28일

업데이트: 2024-09-25

설명

설명 심각도 참고

2024-09-25 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다.


2024년 8월 20일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26923

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26923

GCP-2024-038

게시: 2024년 6월 26일

업데이트: 2024-09-17

설명

설명 심각도 참고

2024-09-17 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다.


2024년 8월 6일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26924

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26924

GCP-2024-037

게시: 2024년 6월 18일

설명 심각도 참고

VMware에서 고객 환경에 배포된 vCenter 구성요소에 영향을 주는 VMSA-2024-0012의 여러 취약점이 공개되었습니다.

Google Cloud VMware Engine 영향

  • 이 취약점은 vCenter Server에서 특정 포트에 액세스하여 악용될 수 있습니다. Google은 이미 vCenter Server에서 취약한 포트를 차단하여 이 취약점이 악용될 가능성을 방지했습니다.
  • 또한 Google에서는 이후의 모든 vCenter 배포가 이 취약점에 노출되지 않도록 보장합니다.

어떻게 해야 하나요?

현재 추가 조치는 필요 없습니다.

심각

GCP-2024-036

게시: 2024년 6월 18일

설명

설명 심각도 참고

다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26584

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26584

GCP-2024-035

게시: 2024년 6월 12일

업데이트: 2024년 7월 18일

설명

설명 심각도 참고

2024년 7월 18일 업데이트: GKE용 Ubuntu 노드 풀의 패치 버전이 추가되었고 Container-Optimized OS 노드 풀용 버전 1.27의 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26584

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26584

GCP-2024-034

게시: 2024년 6월 11일

업데이트: 2024년 7월 10일

설명

설명 심각도 참고

2024년 7월 10일 업데이트: 부 버전 1.26 및 1.27을 실행하는 Container-Optimized OS 노드의 패치 버전과 Ubuntu 노드 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26583

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26583

GCP-2024-033

게시: 2024년 6월 10일

업데이트: 2024-09-26

설명

설명 심각도 참고

2024-09-26 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2022-23222

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2022-23222

GCP-2024-032

게시: 2024년 6월 4일

설명

설명 심각도 참고

다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.

  • CVE-2024-23326: Envoy가 업그레이드 모드 시작 시 HTTP 200 응답을 잘못 수락합니다.
  • CVE-2024-32974: EnvoyQuicServerStream::OnInitialHeadersComplete()에서 비정상 종료됩니다.
  • CVE-2024-32975: QuicheDataReader::PeekVarInt62Length()에서 비정상 종료됩니다.
  • CVE-2024-32976: 추가 입력으로 Brotli 데이터 압축을 해제하는 동안 무한 루프가 발생합니다.
  • CVE-2024-34362: EnvoyQuicServerStream에서 비정상 종료(use-after-free)가 발생합니다.
  • CVE-2024-34363: 포착되지 않은 nlohmann JSON 예외로 인해 비정상 종료됩니다.
  • CVE-2024-34364: 미러링 응답에 대한 제한되지 않은 응답 버퍼가 있는 HTTP 비동기 클라이언트의 Envoy OOM 벡터입니다.

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

높음

GCP-2024-031

게시: 2024년 5월 24일

설명

설명 심각도 참고

Fluent Bit에서 원격 코드 실행이 발생할 수 있는 새로운 취약점(CVE-2024-4323)이 발견되었습니다. Fluent Bit 버전 2.0.7부터 3.0.3까지 영향을 받습니다.

GKE, VMware용 GKE, AWS용 GKE, Azure용 GKE, 베어메탈용 GKE는 취약한 버전의 Fluent Bit를 사용하지 않으며 영향을 받지 않습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

없음 CVE-2024-4323

GCP-2024-030

게시: 2024년 5월 15일

업데이트: 2024년 7월 18일

설명

설명 심각도 참고

2024년 7월 18일 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-52620

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-52620

GCP-2024-029

게시: 2024년 5일 14일

업데이트: 2024-08-19

설명

설명 심각도 참고

2024년 8월 19일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26642

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26642

GCP-2024-028

게시: 2024년 5월 13일

업데이트: 2024년 5월 22일

설명

설명 심각도 참고

2024년 5월 22일 업데이트: Ubuntu 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26581

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26581

GCP-2024-027

게시: 2024년 5월 8일

업데이트: 2024-09-25

설명

설명 심각도 참고

2024-09-25 업데이트: VMware용 GDC 소프트웨어의 패치 버전이 추가되었습니다.


2024년 5월 15일 업데이트: GKE Ubuntu 노드 풀의 패치 버전이 추가되었습니다.


2024년 5월 9일 업데이트: 심각도가 중간에서 높음으로 수정되었으며 기본 구성의 GKE Autopilot 클러스터가 영향을 받지 않음을 명확하게 확인했습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26808

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26808

GCP-2024-026

게시: 2024년 5월 7일

업데이트: 2024년 8월 6일

설명

설명 심각도 참고

2024년 8월 6일 업데이트: GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.


2024년 5월 9일 업데이트: 심각도가 중간에서 높음으로 수정되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26643

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26643

GCP-2024-025

게시: 2024년 4월 26일

설명

설명 심각도 참고

Looker는 Google 및 Alphabet 취약점 발견 보상 프로그램(VRP)을 통해 외부 연구원이 보고한 취약점을 수정했지만 악용의 증거는 발견되지 않았습니다. 이 문제는 현재 해결되었으며, Looker(Google Cloud 핵심 서비스) 및 Looker(원본)에서 Looker가 호스팅하는 고객의 경우 별도의 조치가 필요하지 않습니다. 자체 호스팅하는 Looker 인스턴스는 지원되는 최신 버전으로 업데이트하는 것이 좋습니다.

어떻게 해야 하나요?

Looker 호스팅 인스턴스: Looker(Google Cloud 핵심 서비스) 및 Looker(원본) 인스턴스

고객이 별도의 조치를 취하지 않아도 됩니다.

자체 호스팅 Looker 인스턴스만 해당

Looker 인스턴스가 자체 호스팅된 경우 Looker 인스턴스를 다음 버전 중 하나로 업그레이드하는 것이 좋습니다.

  • 24.6.12+
  • 24.4.27+
  • 24.2.58+
  • 24.0.65+
  • 23.18.100+
  • 23.12.105+
  • 23.6.163+

어떻게 해결되었나요?

Google은 Looker 애플리케이션의 내부 데이터베이스에 대한 직접 관리 액세스를 사용 중지했고 교차 테넌트 액세스를 가능하게 하는 승격된 권한을 삭제했으며 노출된 보안 비밀을 순환시켰습니다. 또한 서비스 계정 사용자 인증 정보를 노출했을 수 있는 경로 순회 취약점에도 패치를 적용했습니다. 또한 코드와 시스템을 철저히 검토하여 유사한 잠재적 취약점을 식별 및 해결했습니다.

매우 심각

GCP-2024-024

게시: 2024년 4월 25일

업데이트: 2024년 7월 18일

설명

설명 심각도 참고

2024년 7월 18일 업데이트 : GKE의 Ubuntu 노드 풀 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-26585

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-26585

GCP-2024-023

게시: 2024년 4월 24일

설명

설명 심각도 참고

다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.

  • CVE-2024-27919: HTTP/2: CONTINUATION 프레임 플러드로 인한 메모리 소진
  • CVE-2024-30255: HTTP/2: CONTINUATION 프레임 플러드로 인한 CPU 소진
  • CVE-2024-32475: ':authority' 헤더와 함께 'auto_sni'를 사용할 경우 255자를 초과하면 비정상 종료
  • CVE-2023-45288: DoS 공격에 HTTP/2 CONTINUATION 프레임을 활용할 수 있음

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

높음

GCP-2024-022

게시: 2024년 4월 3일

업데이트: 2024년 7월 17일

설명

설명 심각도 참고

2024년 7월 17일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.


2024년 7월 9일 업데이트: 베어메탈용 GKE의 패치 버전이 추가되었습니다.


2024년 4월 24일 업데이트: GKE의 패치 버전이 추가되었습니다.


최근 서비스 거부(DoS) 취약점(CVE-2023-45288)이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-45288

GCP-2024-021

게시: 2024년 4월 3일

설명

설명 심각도 참고

Compute Engine은 liblzma 라이브러리에서 xz-utils 패키지의 5.6.0 및 5.6.1 버전에 영향을 주고 OpenSSH 유틸리티 손상으로 이어질 수 있는 CVE-2024-3094의 영향을 받지 않습니다.

자세한 내용은 Compute Engine 보안 게시판을 참조하세요.

중간 CVE-2024-3094

GCP-2024-020

게시: 2024년 4월 2일

설명

설명 심각도 참고

연구원들이 Ray에서 취약점(CVE-2023-48022)을 발견했습니다. Ray는 AI 워크로드를 위한 서드 파티 오픈소스 도구입니다. Ray는 인증이 필요하지 않기 때문에 위협 행위자가 공개적으로 노출된 인스턴스에 작업을 제출하여 원격 코드 실행을 달성할 수 있습니다. 이 취약점은 Ray 개발사인 Anyscale에서 제기되었습니다. Ray에서 이 기능은 핵심 제품 기능의 중요한 부분이며 보안 조치는 Ray 클러스터 외부에서 별개로 적용되어야 합니다. Ray 클러스터에 대한 의도치 않은 네트워크 노출은 보안 위험으로 이어질 수 있습니다.

응답에 따라 이 CVE는 유효성에 대한 의견이 일치하지 않은 상태이며 취약점 스캐너에 표시되지 않을 수 있습니다. 그럼에도 불구하고 이 문제는 실제 상황에서 악용되고 있으므로 사용자는 아래 제안에 따라 사용을 구성해야 합니다.

어떻게 해야 하나요?

Ray 권장사항과 가이드라인을 준수하세요. 여기에는 Ray 워크로드 보안을 위해 신뢰할 수 있는 네트워크에서 신뢰할 수 있는 코드를 실행하는 것도 포함됩니다. 고객 클라우드 인스턴스에 ray.io를 배포하는 것은 공유 책임 모델에 포함됩니다.

Google Kubernetes Engine(GKE) 보안팀은 GKE에서 Ray 지원에 대한 블로그를 게시했습니다.

Ray 서비스에 인증 및 승인을 추가하는 방법에 대한 자세한 내용은 IAP(Identity-Aware Proxy) 문서를 참조하세요. GKE 사용자는 이 안내에 따라 또는 블로그에 링크된 Terraform 모듈을 활용해서 IAP를 구현할 수 있습니다.

높음 CVE-2023-48022

GCP-2024-018

게시: 2024년 3월 12일

업데이트: 2024년 4월 4일, 2024년 5월 6일

설명

설명 심각도 참고

2024년 5월 6일 업데이트: GKE Ubuntu 노드 풀의 패치 버전이 추가되었습니다.


2024년 4월 4일 업데이트: GKE Container-Optimized OS 노드 풀의 최소 버전이 수정되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-1085

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-1085

GCP-2024-017

게시: 2024년 3월 6일

설명

설명 심각도 참고

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3611

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-3611

GCP-2024-016

게시: 2024년 3월 5일

설명 심각도 참고

VMware는 VMSA-2024-0006에서 고객 환경에 배포된 ESXi 구성요소에 영향을 미치는 여러 취약점을 공개했습니다.

Google Cloud VMware Engine 영향

보안 취약점이 해결되도록 프라이빗 클라우드가 업데이트되었습니다.

어떻게 해야 하나요?

개발자가 취해야 할 조치는 없습니다.

매우 심각

GCP-2024-014

게시: 2024년 2월 26일

설명

설명 심각도 참고

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3776

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-3776

GCP-2024-013

게시: 2024년 2월 27일

설명

설명 심각도 참고

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3610

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-3610

GCP-2024-012

게시: 2024년 2월 20일

설명

설명 심각도 참고

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2024-0193

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-0193

GCP-2024-011

게시: 2024년 2월 15일

설명

설명 심각도 참고

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6932

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-6932

GCP-2024-010

게시: 2024년 2월 14일

업데이트: 2024년 4월 17일

설명

설명 심각도 참고

2024년 4월 17일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6931

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-6931

GCP-2024-009

게시: 2024년 2월 13일

설명

설명 심각도 참고

2024년 2월 13일 AMD는 3세대 "Milan"과 4세대 "Genoa" Zen 코어를 기반으로 EPYC CPU에서 SEV-SNP에 영향을 주는 두 가지 취약점을 공개했습니다. 이 취약점으로 인해 권한을 얻은 공격자가 게스트에서 오래된 데이터에 액세스하거나 게스트 무결성 손실을 일으킬 수 있습니다.

Google은 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정 사항을 적용했습니다. 현재까지 이에 대한 악용 증거는 Google에서 발견되거나 보고되지 않았습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다. Compute Engine을 포함하여 Google Cloud의 Google 서버 Fleet에 수정 사항이 이미 적용되었습니다.

자세한 내용은 AMD 보안 권고 AMD-SN-3007을 참조하세요.

보통

GCP-2024-008

게시: 2024년 2월 12일

설명

설명 심각도 참고

CVE-2023-5528을 사용하면 공격자가 이러한 노드에서 관리자 권한 에스컬레이션을 사용 설정하는 방식으로 Windows 노드에 포드 및 영구 볼륨을 만들 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-5528

GCP-2024-007

게시: 2024년 2월 8일

설명

설명 심각도 참고

다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.

  • CVE-2024-23322: 백오프 간격 내에 시도 제한 시간당 유휴 상태 및 요청이 발생하면 Envoy가 충돌합니다.
  • CVE-2024-23323: URI 템플릿 일치자가 정규식을 사용하여 구성된 경우 CPU 사용량이 과도합니다.
  • CVE-2024-23324: 프록시 프로토콜 필터가 잘못된 UTF-8 메타데이터를 설정할 때 외부 승인을 우회할 수 있습니다.
  • OS에서 지원되지 않는 주소 유형을 사용할 때 Envoy가 충돌합니다.
  • CVE-2024-23327: 명령어 유형이 LOCAL일 때 프록시 프로토콜에서 충돌이 발생합니다.

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

높음

GCP-2024-006

게시: 2024년 2월 5일

설명

설명 심각도 참고

Apigee API 관리 프록시가 대상 엔드포인트 또는 대상 서버에 연결되면 프록시는 기본적으로 대상 엔드포인트 또는 대상 서버에서 제공한 인증서에 대해 호스트 이름 검증을 수행하지 않습니다. 다음 옵션 중 하나를 사용하여 호스트 이름 검증을 사용 설정하지 않으면 대상 엔드포인트 또는 대상 서버에 연결하는 Apigee 프록시가 승인된 사용자의 중간자 공격 위험에 노출될 수 있습니다. 자세한 내용은 Edge에서 백엔드로 TLS 구성(Cloud 및 프라이빗 클라우드)을 참조하세요.

다음 Apigee 플랫폼의 Apigee 프록시 배포가 영향을 받습니다.

  • 퍼블릭 클라우드용 Apigee Edge
  • 프라이빗 클라우드용 Apigee Edge

자세한 안내 및 정보는 Apigee 보안 게시판을 참조하세요.

높음

GCP-2024-005

게시: 2024년 1월 31일
업데이트: 2024년 4월 2일, 2024년 5월 6일

설명

설명 심각도 참고

2024년 5월 6일 업데이트: AWS용 GKE 및 Azure용 GKE의 패치 버전이 추가되었습니다.


2024년 4월 2일 업데이트: 베어메탈용 GKE의 패치 버전이 추가되었습니다.


2024년 3월 6일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.


2024년 2월 28일 업데이트: Ubuntu 패치 버전이 추가되었습니다.


2024년 2월 15일 업데이트: 2024년 2월 14일 업데이트의 1.25 및 1.26 Ubuntu 패치 버전으로 인해 비정상 노드가 발생할 수 있음을 명확히 했습니다.


2024년 2월 14일 업데이트: Ubuntu 패치 버전이 추가되었습니다.


2024년 2월 6일 업데이트: Container-Optimized OS의 패치 버전이 추가되었습니다.


Container-Optimized OS 및 Ubuntu 노드에서 포드를 만들 수 있는 권한이 있는 사용자가 노드 파일 시스템에 대한 전체 액세스 권한을 얻을 수 있는 runc에서 보안 취약점 CVE-2024-21626이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2024-21626

GCP-2024-004

게시: 2024년 1월 24일
업데이트: 2024년 2월 7일

설명

설명 심각도 참고

2024년 2월 7일 업데이트: Ubuntu 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6817

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-6817

GCP-2024-003

게시: 2024년 1월 19일
업데이트: 2024년 1월 26일

설명

설명 심각도 참고

2024년 1월 26일 업데이트: 영향을 받은 클러스터의 개수와 영향을 완화하기 위해 Google이 수행한 조치를 명확하게 설명했습니다. 자세한 내용은 GCP-2024-003 보안 게시판을 참조하세요.


Google 계정을 가진 모든 사용자를 포함하는 system:authenticated 그룹에 대한 Kubernetes 권한이 사용자에게 부여된 클러스터가 여러 개 식별되었습니다. 이러한 유형의 바인딩은 최소 권한의 원칙을 위반하고 대규모 사용자 그룹에 액세스 권한을 부여하므로 권장되지 않습니다. 이러한 유형의 바인딩을 찾는 방법은 '어떻게 해야 하나요'의 안내를 참고하세요.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

중간

GCP-2024-002

게시: 2024년 1월 17일

업데이트: 2024년 2월 20일

설명

설명 심각도 참고

2024년 2월 20일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-6111

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-6111

GCP-2024-001

게시: 2024년 1월 9일

설명

설명 심각도 참고

TianoCore EDK II UEFI 펌웨어에서 몇 가지 취약점이 발견되었습니다. 이 펌웨어는 Google Compute Engine VM에서 사용됩니다. 악용될 경우 취약점에서 보안 부팅의 우회를 허용하여 보안 VM에서 사용되는 경우를 포함해 보안 부팅 프로세스에서 잘못된 측정을 제공할 수 있습니다.

어떻게 해야 하나요?

별도의 조치가 필요하지 않습니다. Google은 Compute Engine 전반에서 이 취약점에 패치를 적용했으며 모든 VM은 이 취약점으로부터 보호됩니다.

이 패치로 어떤 취약점이 해결되나요?

이 패치로 다음의 취약점이 완화되었습니다.

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
중간

GCP-2023-051

게시: 2023년 12월 28일

설명

설명 심각도 참고

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3609

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-3609

GCP-2023-050

게시: 2023년 12월 27일

설명

설명 심각도 참고

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3389

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-3389

GCP-2023-049

게시: 2023년 12월 20일

설명

설명 심각도 참고

다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3090

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-3090

GCP-2023-048

게시: 2023년 12월 15일

업데이트: 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3390

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-3390

GCP-2023-047

게시: 2023년 12월 14일

설명

설명 심각도 참고

Fluent Bit 로깅 컨테이너를 손상시킨 공격자가 Cloud Service Mesh(사용 설정된 클러스터에서)에서 클러스터에 권한을 에스컬레이션하기 위해 필요한 고급 권한과 해당 액세스 권한을 결합할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

중간

GCP-2023-046

게시: 2023년 11월 22일
업데이트: 2024년 3월 4일

설명

설명 심각도 참고

2024년 3월 4일 업데이트: VMware용 GKE의 GKE 버전이 추가되었습니다.

2024년 1월 22일 업데이트: Ubuntu 패치 버전 추가


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5717

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-5717

GCP-2023-045

게시: 2023년 11월 20일

업데이트: 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-5197

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-5197

GCP-2023-044

게시: 2023년 11월 15일

설명

설명 심각도 참고

AMD는 11월 14일에 다양한 AMD 서버 CPU에 영향을 미치는 여러 취약점을 공개했습니다. 특히 이 취약점은 Zencore 2세대 'Rome', 3세대 'Milan', 4세대 'Genoa'를 활용하는 EPYC 서버 CPU에 영향을 미칩니다.

Google은 고객 보호를 위해 Google Cloud를 포함하여 영향을 받는 애셋에 수정 사항을 적용했습니다. 현재까지 이에 대한 악용 증거는 Google에서 발견되거나 보고되지 않았습니다.

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다.

수정 사항은 이미 Google Compute Engine을 포함한 Google Cloud 서버 Fleet에 적용되었습니다.

해결되는 취약점은 무엇인가요?

이 패치로 다음의 취약점이 완화되었습니다.

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

자세한 내용은 AMD 보안 권고 AMD-SN-3005: 'AMD INVD 안내 보안 알림'(CacheWarp로도 게시됨) 및 AMD-SN-3002: 'AMD 서버 취약점' - 2023년 11월'을 참조하세요.

보통

GCP-2023-043

게시: 2023년 11월 14일

설명

설명 심각도 참고

Intel은 일부 프로세서의 CPU 취약점을 공개했습니다. Google은 고객 보호를 위해 Google Cloud용 Google Compute Engine과 Chrome OS 기기를 포함한 서버 제품군을 완화하는 조치를 취했습니다.

취약점 세부정보:

  • CVE-2023-23583

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다.

영향을 받는 프로세서에 대해 Intel에서 제공하는 완화 조치가 Google Cloud용 Google Compute Engine을 포함한 Google 서버 제품군에 적용되었습니다.

현재 Google Distributed Cloud Edge에는 OEM의 업데이트가 필요합니다. 업데이트가 제공되면 Google에서 이 제품에 조치를 취하고 그에 따라 이 게시판이 업데이트됩니다.

프로세서에 영향을 받은 Chrome OS 기기는 출시 버전 119, 118, 114(LTS)의 일부로 자동 수정이 제공됩니다.

해결되는 취약점은 무엇인가요?

CVE-2023-23583. 자세한 내용은 Intel 보안 권고 INTEL-SA-00950을 참조하세요.

높음 CVE-2023-23583

GCP-2023-042

게시: 2023년 11월 13일
업데이트: 2023년 11월 15일

설명

설명 심각도 참고

2023년 11월 15일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4147

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-4147

GCP-2023-041

게시: 2023년 11월 8일

업데이트: 2023년 11월 21일, 2023년 12월 5일, 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


2023년 12월 5일 업데이트: Container-Optimized OS 노드 풀용 GKE 버전이 추가되었습니다.


2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4004

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-4004

GCP-2023-040

게시: 2023년 11월 6일

업데이트: 2023년 11월 21일, 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4921

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-4921

GCP-2023-039

게시: 2023년 11월 6일

업데이트: 2023년 11월 21일, 2023년 11월 16일

설명

설명 심각도 참고

2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.


2023년 11월 16일 업데이트: 이 보안 게시판과 관련된 취약점은 CVE-2023-4622입니다. 이전 버전의 보안 게시판에 CVE-2023-4623이 취약점으로 잘못 표시되었습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-4622

GCP-2023-038

게시: 2023년 11월 6일

업데이트: 2023년 11월 21일, 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4623

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-4623

GCP-2023-037

게시: 2023년 11월 6일

업데이트: 2023년 11월 21일, 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4015

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-4015

GCP-2023-036

게시: 2023년 10월 30일

설명

설명 심각도 참고

Deep Learning VM Image는 즉시 실행할 수 있는 딥 러닝 프레임워크가 포함되어 사전 패키징된 가상 머신 이미지 세트입니다. 최근에 `libwebp` 라이브러리의 `ReadHuffmanCodes()` 함수에서 범위를 벗어나는 쓰기 취약점이 발견되었습니다. 이로 인해 이 라이브러리를 사용하는 이미지에 영향을 줄 수 있습니다.

Google Cloud는 공개적으로 게시된 이미지를 계속 스캔하고 패치 적용된 배포판이 고객이 채택할 수 있는 최신 출시 버전에 포함되도록 보장하기 위해 패키지를 업데이트하고 있습니다. 최신 VM 이미지에 패치 적용된 배포판이 포함될 수 있도록 Deep Learning VM Image가 업데이트되었습니다. 최신 VM 이미지를 채택한 고객은 이 취약점에 노출되지 않습니다.

어떻게 해야 하나요?

게시된 VM 이미지를 사용하는 Google Cloud 고객은 최신 이미지를 채택하고 해당 환경이 공유 책임 모델에 따라 최신 상태로 유지되는지 확인해야 합니다.

공격자가 CVE-2023-4863을 악용해서 임의 코드를 실행할 수 있습니다. 이 취약점은 116.0.5845.187 이전의 Google Chrome 및 1.3.2 이전의 `libwebp`에서 식별되었으며 CVE-2023-4863으로 등록되었습니다.

높음 CVE-2023-4863

GCP-2023-035

게시: 2023년 10월 26일

업데이트: 2023년 11월 21일, 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

게시: 2023년 10월 25일

업데이트: 2023년 10월 27일

설명

설명 심각도 참고

VMware에서 고객 환경에 배포된 vCenter 구성요소에 영향을 주는 VMSA-2023-0023의 여러 취약점이 공개되었습니다.

Cloud Customer Care 영향

  • 이 취약점은 vCenter Server에서 특정 포트에 액세스하여 악용될 수 있습니다. 이러한 포트는 공개 인터넷에 노출되지 않습니다.
  • 신뢰할 수 없는 시스템이 vCenter 포트 2012/tcp, 2014/tcp, 2020/tcp에 액세스할 수 없는 경우에는 이 취약점에 노출되지 않습니다.
  • Google은 이미 vCenter Server에서 취약한 포트를 차단하여 이 취약점이 악용될 가능성을 방지했습니다.
  • 또한 Google은 이후의 모든 vCenter Server 배포가 이 취약점에 노출되지 않도록 보장할 것입니다.
  • 게시판 작성 시점에 VMware는 이 문제가 "실제 상황"에서 악용되고 있다는 증거를 발견하지 못했습니다. 자세한 내용은 VMware 문서를 참조하세요.

어떻게 해야 하나요?

현재로서는 별도의 조치를 취하지 않으셔도 됩니다.

매우 심각 CVE-2023-34048,CVE-2023-34056

GCP-2023-033

게시: 2023년 10월 24일

업데이트: 2023년 11월 21일, 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터 및 GKE Sandbox 워크로드에 영향이 없음을 명시합니다.


2023년 11월 21일 업데이트: 나열된 마이너 버전만 GKE용 해당 패치 버전으로 업그레이드해야 함을 명확하게 설명했습니다.


다음 취약점은 Linux 커널에서 Container-Optimized OS 및 Ubuntu 노드의 권한 에스컬레이션으로 이어질 수 있는 것으로 확인되었습니다.

  • CVE-2023-3777

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-3777

GCP-2023-032

게시: 2023년 10월 13일

업데이트: 2023년 11월 3일

설명

설명 심각도 참고

2023년 11월 3일 업데이트: 프라이빗 클라우드용 Apigee Edge에 대한 알려진 문제가 추가되었습니다.

최근 서비스 거부(DoS) 취약점이 Apigee X 및 Apigee Hybrid에서 사용하는 Apigee 인그레스(Cloud Service Mesh) 서비스를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Apigee API 관리 기능에 대한 DoS가 발생할 수 있습니다.

자세한 내용과 안내는 Apigee 보안 게시판을 참조하세요.

높음 CVE-2023-44487

GCP-2023-031

게시: 2023년 10월 10일

설명

설명 심각도 참고

DoS 공격이 HTTP/2 프로토콜을 사용할 때 데이터 영역에 영향을 줄 수 있습니다. 자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

높음 CVE-2023-44487

GCP-2023-030

게시: 2023년 10월 10일

업데이트: 2024년 3월 20일

설명

설명 심각도 참고

2024년 3월 20일 업데이트: CVE-2023-44487의 최신 패치가 포함된 AWS용 GKE 및 Azure용 GKE의 패치 버전이 추가되었습니다.


2024년 2월 14일 업데이트: VMware용 GKE의 패치 버전이 추가되었습니다.


2023년 11월 9일 업데이트: CVE-2023-39325가 추가되었습니다. CVE-2023-44487 및 CVE-2023-39325의 최신 패치로 GKE 버전이 업데이트되었습니다.


최근 서비스 거부(DoS) 취약점이 Kubernetes에서 사용하는 golang HTTP 서버를 포함하여 HTTP/2 프로토콜(CVE-2023-44487)의 여러 구현에서 발견되었습니다. 이 취약점으로 인해 Google Kubernetes Engine(GKE) 컨트롤 플레인에 대한 DoS가 발생할 수 있습니다. 승인된 네트워크가 구성된 GKE 클러스터는 네트워크 액세스 제한을 통해 보호되지만 다른 모든 클러스터는 영향을 받습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-44487, CVE-2023-39325

GCP-2023-029

게시: 2023년 10월 3일

설명

설명 심각도 참고

TorchServe는 온라인 예측을 위해 PyTorch 머신러닝 모델을 호스팅하는 데 사용됩니다. Vertex AI는 TorchServe에 의존하는 컨테이너를 제공하는 사전 빌드된 PyTorch 모델을 제공합니다. 모델 관리 API가 노출된 경우 공격자가 TorchServe 배포를 제어할 수 있는 취약점이 최근 TorchServe에서 발견되었습니다. Vertex AI는 TorchServe의 모델 관리 API를 노출하지 않기 때문에 Vertex AI 온라인 예측에 PyTorch 모델이 배포된 고객은 이러한 취약점의 영향을 받지 않습니다. Vertex AI 외부에서 TorchServe를 사용하는 고객은 해당 배포가 올바르게 설정되었는지 주의해야 합니다.

어떻게 해야 하나요?

Vertex AI의 배포는 인터넷에 TorchServe의 관리 서버를 노출하지 않기 때문에 Vertex AI의 사전 빌드된 PyTorch 제공 컨테이너를 사용하여 모델을 배포한 Vertex AI 고객은 취약점 해결을 위한 조치를 취할 필요가 없습니다.

다른 컨텍스트에서 사전 빌드된 PyTorch 컨테이너를 사용 중이거나 커스텀 빌드된 또는 타사에서 배포된 TorchServe를 사용 중인 고객은 다음을 수행해야 합니다.

  • TorchServe의 모델 관리 API가 인터넷에 노출되지 않도록 해야 합니다. management_address127.0.0.1에 바인딩되었는지만 확인하여 모델 관리 API를 로컬 액세스로 제한할 수 있습니다.
  • allowed_urls 설정을 사용해서 의도한 소스에서만 모델을 로드할 수 있도록 보장합니다.
  • 가능한 한 빨리 이 문제의 해결 방법이 포함된 버전 0.8.2로 TorchServe를 업그레이드합니다. 안전 대책으로 Vertex AI는 2023년 10월 13일까지 수정된 사전 빌드된 컨테이너를 출시할 예정입니다.

해결되는 취약점은 무엇인가요?

TorchServe의 관리 API는 Vertex AI에서 릴리스되는 항목을 포함하여 기본적으로 대부분의 TorchServe Docker 이미지에서 0.0.0.0에 바인딩되어 외부 요청에 액세스할 수 있습니다. 관리 API의 기본 IP 주소는 이러한 문제 해결을 위해 TorchServe 0.8.2에서 127.0.0.1로 변경되었습니다.

CVE-2023-43654CVE-2022-1471는 사용자가 관리 API에 액세스하여 임의 소스에서 모델을 로드하고 원격으로 코드를 실행할 수 있게 해줍니다. 이러한 두 문제 모두에 대한 해결이 TorchServe 0.8.2에 포함되어, 원격 코드 실행 경로가 삭제되었고 allowed_urls의 기본값이 사용되면 경고가 방출됩니다.

높음 CVE-2023-43654, CVE-2022-1471

GCP-2023-028

게시: 2023년 9월 19일

업데이트: 2024년 5월 29일

설명

설명 심각도 참고
2024년 5월 29일 업데이트: 새 피드는 더 이상 공유 서비스 계정을 사용하지 않지만 서비스 중단이 방지되도록 기존 피드에 활성 상태로 유지됩니다. 공유 서비스 계정의 오용이 방지되도록 이전 피드의 소스 변경사항은 차단됩니다. 고객은 소스를 변경하지 않는 한 이전 피드를 정상적으로 계속 사용할 수 있습니다.

고객이 수집 피드를 사용하여 고객 소유의 Cloud Storage 버킷에서 데이터를 수집하도록 Google Security Operations를 구성할 수 있습니다. 최근까지 Google Security Operations는 고객이 버킷에 대한 권한을 부여하는 데 사용한 공유 서비스 계정을 제공했습니다. 이로 인해 한 고객의 Google Security Operations 인스턴스가 다른 고객의 Cloud Storage 버킷에서 데이터를 수집하도록 구성될 수 있었습니다. 영향 분석을 수행한 결과 이러한 취약점에 대한 현재 또는 이전의 악용 사례는 발견되지 않았습니다. 이 취약점은 2023년 9월 19일 이전의 모든 Google Security Operations 버전에서 발생했습니다.

어떻게 해야 하나요?

2023년 9월 19일부터 이 취약점이 해결되도록 Google Security Operations가 업데이트되었습니다. 고객이 별도의 조치를 취하지 않아도 됩니다.

해결되는 취약점은 무엇인가요?

이전에 Google Security Operations는 고객이 버킷에 대한 권한을 부여하는 데 사용한 공유 서비스 계정을 제공했습니다. 여러 고객이 자신의 버킷에 동일한 Google Security Operations 서비스 계정 권한을 부여했으므로 피드가 생성되거나 수정될 때 한 고객의 피드가 다른 고객의 버킷에 액세스하도록 허용하는 악용 벡터가 존재했습니다. 이러한 악용 벡터에는 버킷 URI에 대한 지식이 필요했습니다. 이제는 피드 생성 또는 수정 중에 Google Security Operations에서 고객마다 고유한 서비스 계정을 사용합니다.

높음

GCP-2023-027

게시: 2023년 9월 11일
설명 심각도 참고

VMware vCenter Server 업데이트는 여러 메모리 손상 취약점(CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)을 해결합니다.

고객 지원 영향

VMware vCenter Server(vCenter Server) 및 VMware Cloud Foundation(Cloud Foundation)

어떻게 해야 하나요?

고객은 영향을 받지 않으며 별도의 조치를 취할 필요가 없습니다.

중간

GCP-2023-026

게시: 2023년 9월 6일

설명

설명 심각도 참고

Windows 노드에 포드를 만들 수 있는 사용자가 해당 노드의 관리자 권한으로 에스컬레이션할 수 있는 3가지 취약점(CVE-2023-3676, CVE-2023-3955, CVE-2023-3893)이 Kubernetes에서 발견되었습니다. 이러한 취약점은 Kubelet 및 Kubernetes CSI 프록시의 Windows 버전에 영향을 줍니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

게시: 2023년 8월 8일
설명 심각도 참고

Intel은 최근 일부 프로세서 제품군에 영향을 미치는 Intel 보안 권고 INTEL-SA-00828을 발표했습니다. 권고에 따라 위험을 평가하는 것이 좋습니다.

Google Cloud VMware Engine 영향

Google Fleet은 영향을 받는 프로세서 제품군을 활용합니다. 배포에서는 전체 서버가 한 명의 고객 전용입니다. 따라서 Google의 배포 모델은 이 취약점의 평가에 추가적인 위험을 더하지 않습니다.

Google은 파트너와 협력하여 필요한 패치를 획득하고 있으며 앞으로 몇 주 내에 표준 업그레이드 프로세스를 사용하여 이러한 패치를 Fleet 전체에 우선 배포할 예정입니다.

어떻게 해야 하나요?

별도의 조치를 취하지 않아도 모든 영향을 받는 시스템을 업그레이드하기 위해 작업하고 있습니다.

높음

GCP-2023-024

게시: 2023년 8월 8일

업데이트: 2023년 8월 10일, 2024년 6월 4일

설명

설명 심각도 참고

2024년 6월 4일 업데이트: 이 취약점을 수정하기 위해 누락된 다음 제품이 업데이트되었습니다.

  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge


2023년 8월 10일 업데이트: ChromeOS LTS 버전 번호가 추가되었습니다.


Intel은 일부 프로세서의 취약점(CVE-2022-40982)을 공개했습니다. Google은 고객 보호를 위해 Google Cloud를 포함한 서버 제품군을 완화하는 조치를 취했습니다.

취약점 세부정보:

  • CVE-2022-40982(Intel IPU 2023.3, 'GDS' 일명 'Downfall')

어떻게 해야 하나요?

고객이 별도의 조치를 취하지 않아도 됩니다.

사용 가능한 모든 패치가 Google Compute Engine을 포함한 Google Cloud 서버 Fleet에 이미 적용되었습니다.

현재 다음 제품은 파트너 및 공급업체의 추가 업데이트가 필요합니다.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Google Cloud 베어메탈 솔루션
  • 개선된 패킷 코어

이러한 패치를 사용할 수 있게 되면 Google은 해당 제품에 조치를 취하고 그에 따라 이 게시판이 업데이트됩니다.

Google Chromebook 및 ChromeOS Flex 고객은 Stable(115), LTS(108), Beta(116), LTC(114)에서 Intel이 제공한 완화 기능을 자동으로 받았습니다. 이전 출시 버전에 고정된 Chromebook 및 ChromeOS Flex 고객은 이 버전 및 기타 취약점 수정 사항을 받을 수 있도록 고정 해제하고 Stable 또는 LTS 출시 버전으로 이동하는 것을 고려해야 합니다.

해결되는 취약점은 무엇인가요?

CVE-2022-40982 - 자세한 내용은 Intel 보안 권고 INTEL-SA-00828을 참조하세요.

높음 CVE-2022-40982

GCP-2023-023

게시: 2023년 8월 8일

설명

설명 심각도 참고

AMD는 일부 프로세서(CVE-2023-20569)의 취약점을 공개했습니다. Google은 고객 보호를 위해 Google Cloud를 포함한 서버 제품군을 완화하는 조치를 취했습니다.

취약점 세부정보:

  • CVE-2023-20569(AMD SB-7005 일명 'Inception')

어떻게 해야 하나요?

Compute Engine VM 사용자가 인스턴스 내 신뢰할 수 없는 코드 실행을 사용하는 경우 OS 제공 완화를 고려해야 합니다. 자세한 내용은 고객이 OS 공급업체에 문의하는 것이 좋습니다.

수정 사항은 이미 Google Compute Engine을 포함한 Google Cloud 서버 Fleet에 적용되었습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-20569 - 자세한 내용은 AMD SB-7005를 참조하세요.

보통 CVE-2023-20569

GCP-2023-022

게시: 2023년 8월 3일

설명

설명 심각도 참고

1.57 버전 이전의 gRPC C++ 구현에서 취약점이 발견되었습니다. gRPC의 C++ 구현 내 서비스 거부 취약점입니다. 1.53.2, 1.54.3, 1.55.2, 1.56.2, 1.57 버전에서 수정되었습니다.

어떻게 해야 하나요?

다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.

  • gRPC(C++, Python, Ruby) 1.53, 1.54, 1.55, 1.56 버전은 다음 패치 버전으로 업그레이드해야 합니다.
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • gRPC(C++, Python, Ruby) 1.52 및 이전 버전은 승인된 패치 버전(예: 1.53.2, 1.54.3, 1.53.4) 중 하나로 업그레이드해야 합니다.

해결되는 취약점은 무엇인가요?

이러한 패치로 완화되는 취약점은 다음과 같습니다.

  • gRPC C++ 구현 내 서비스 거부 취약점: 특별히 작성된 요청이 프록시와 백엔드 간의 연결 해제를 초래할 수 있습니다.
높음 CVE-2023-33953

GCP-2023-021

업데이트: 2023년 7월 26일

게시: 2023년 7월 25일

설명

설명 심각도 참고

다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.

  • CVE-2023-35941: 일부 특정 시나리오에서 악의적인 클라이언트가 영구적으로 유효한 사용자 인증 정보를 생성할 수 있습니다. 예를 들어 HMAC 페이로드의 호스트 및 만료 시간 조합은 항상 OAuth2 필터의 HMAC 검사에서 유효할 수 있습니다.
  • CVE-2023-35942: 리스너의 전역 범위를 사용하는 gRPC 액세스 로거에서 리스너 드레이닝 시 해제 후 사용 비정상 종료가 발생할 수 있습니다. 동일한 gRPC 액세스 로그 구성을 사용하는 LDS 업데이트에서 트리거될 수 있습니다.
  • CVE-2023-35943: origin 헤더가 request_headers_to_remove: origin으로 삭제되도록 구성된 경우 CORS 필터가 segfault되고 Envoy가 비정상 종료됩니다.
  • CVE-2023-35944: 공격자가 혼합 스킴 요청을 보내 Envoy의 스킴 검사를 우회할 수 있습니다. 예를 들어 혼합 스킴 HTTP가 있는 요청이 OAuth2 필터로 전송되면 HTTP의 일치검색 검사가 실패하고 스킴이 HTTPS임을 원격 엔드포인트에 알리므로 HTTP 요청과 관련된 OAuth2 검사가 우회될 수 있습니다.

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

높음

GCP-2023-020

업데이트: 2023년 7월 26일

게시: 2023년 7월 24일

설명

설명 심각도 참고

AMD에서 하드웨어 보안 취약점(CVE-2023-20593)을 해결하는 마이크로코드 업데이트를 출시했습니다. Google은 Google Cloud Platform용 서버를 포함하여 이 취약점에 필요한 수정사항을 서버 Fleet에 적용했습니다. 테스트에서는 시스템 성능에 영향을 미치지 않는 것으로 나타납니다.

어떻게 해야 하나요?

Google Cloud Platform용 Google 서버 Fleet에 수정사항이 이미 적용되어 있으므로 고객이 별도로 취해야 할 조치는 없습니다.

해결되는 취약점은 무엇인가요?

CVE-2023-20593은 일부 AMD CPU의 취약점을 해결합니다. 자세한 내용은 여기에서 확인할 수 있습니다.

높음 CVE-2023-20593

GCP-2023-019

게시: 2023년 7월 18일

설명

설명 심각도 참고

신뢰할 수 없는 업스트림 서비스에서 특별히 제작된 응답으로 인해 메모리 소진을 통한 서비스 거부가 발생할 수 있는 새로운 취약점(CVE-2023-35945)이 Envoy에서 발견되었습니다. 이 문제는 업스트림 서버에서 RST_STREAM 수신 직후 GOAWAY 프레임이 오는 헤더 맵과 부기 구조를 유출할 수 있는 Envoy의 HTTP/2 코덱으로 인해 발생합니다.

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

높음 CVE-2023-35945

GCP-2023-018

게시: 2023년 6월 27일

설명

설명 심각도 참고

Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-2235)이 발견되었습니다. GKE Autopilot 노드에서 항상 Container-Optimized OS 노드 이미지를 사용하므로 GKE Autopilot 클러스터가 영향을 받습니다. Container-Optimized OS 노드 이미지를 실행하는 버전 1.25 이상의 GKE Standard 클러스터가 영향을 받습니다.

GKE 클러스터는 Ubuntu 노드 이미지만 실행하거나 1.25 이전 버전을 실행하거나 GKE Sandbox를 사용하는 경우에는 영향을 받지 않습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-2235

GCP-2023-017

게시: 2023년 6월 26일

업데이트: 2023년 7월 11일

설명

설명 심각도 참고

2023년 7월 11일 업데이트: CVE-2023-31436 패치를 적용하는 최신 Ubuntu 버전을 포함하도록 새 GKE 버전이 업데이트되었습니다.


Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2023-31436)이 발견되었습니다. Autopilot 클러스터를 포함한 GKE 클러스터가 영향을 받습니다. GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-31436

GCP-2023-016

게시: 2023년 6월 26일

설명

설명 심각도 참고

Cloud Service Mesh에서 사용되는 Envoy에서 악의적인 공격자가 서비스 거부를 일으키거나 Envoy를 비정상 종료할 수 있는 여러 취약점이 발견되었습니다. 각각 GCP-2023-002로 보고되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

게시: 2023년 6월 20일

설명

설명 심각도 참고

Linux 커널에서 새로운 취약점인 CVE-2023-0468이 발견되었습니다. io_poll_get_ownership이 모든 io_poll_wake에서 req->poll_refs를 계속 증가시킨 다음 0에 오버플로되어 fput req->file을 두 번 입력하면 구조체 파일 refcount 문제를 일으킬 때 권한이 없는 사용자가 권한을 루트로 에스컬레이션할 수 있습니다. Linux 커널 버전 5.15를 사용하는 Container-Optimized OS를 포함한 Autopilot 클러스터 등의 GKE 클러스터가 영향을 받습니다. Ubuntu 이미지를 사용하거나 GKE Sandbox를 사용하는 GKE 클러스터는 영향을 받지 않습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

중간 CVE-CVE-2023-0468

GCP-2023-014

업데이트: 2023년 8월 11일
게시: 2023년 6월 15일

설명

설명 심각도 참고

2023년 8월 11일 업데이트: VMware용 GKE, AWS용 GKE, Azure용 GKE, 베어메탈용 Google Distributed Cloud Virtual의 패치 버전이 추가되었습니다.


Kubernetes에서 사용자가 임시 컨테이너와 ImagePolicyWebhook(CVE-2023-2727) 또는 ServiceAccount 허용 플러그인(CVE-2023-2728)을 사용할 때 정책 제한을 우회하는 컨테이너를 실행할 수 있는 두 가지 새로운 보안 문제가 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

중간 CVE-2023-2727, CVE-2023-2728

GCP-2023-013

게시: 2023년 6월 8일

설명

설명 심각도 참고

프로젝트에서 Cloud Build API를 사용 설정하면 Cloud Build가 사용자 대신 빌드를 실행할 기본 서비스 계정을 자동으로 생성합니다. 이전에는 이 Cloud Build 서비스 계정에 logging.privateLogEntries.list IAM 권한이 있어 빌드에서 기본적으로 비공개 로그를 나열할 수 있는 액세스 권한이 있었습니다. 최소 권한의 보안 원칙을 준수하기 위해 이 권한이 Cloud Build 서비스 계정에서 취소되었습니다.

자세한 안내 및 세부정보는 Cloud Build 보안 게시판을 참조하세요.

낮음

GCP-2023-010

게시: 2023년 6월 7일

설명

설명 심각도 참고

Google은 gRPC C ++ 구현에서 새로운 3가지 취약점을 발견했습니다. 이들은 곧 CVE-2023-1428, CVE-2023-32731, CVE-2023-32732로 공개적으로 게시됩니다.

지난 4월에 1.53 및 1.54 버전에서 두 가지 취약점이 발견되었습니다. 각각 gRPC C++ 구현 내 서비스 거부 취약점과 원격 데이터 무단 반출 취약점입니다. 이러한 취약점은 1.53.1, 1.54.2 및 이후 버전에서 수정되었습니다.

이전 3월에는 사내 팀이 정기적인 퍼징 테스트를 수행하던 중 gRPC의 C++ 구현 내부에서 서비스 거부 취약점을 발견했습니다. 이 취약점은 gRPC 1.52 버전에서 발견되었으며 1.52.2 및 1.53 버전에서 수정되었습니다.

어떻게 해야 하나요?

다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.

  • grpc(C++, Python, Ruby) 버전 1.52, 1.53, 1.54는 다음 패치 출시 버전으로 업그레이드해야 합니다.
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • grpc(C++, Python, Ruby) 버전 1.51 이하는 영향을 받지 않으므로, 이 버전을 사용하는 사용자는 조치를 취할 수 없습니다.

이러한 패치로 해결되는 취약점

이러한 패치로 완화되는 취약점은 다음과 같습니다.

  • 1.53.1, 1.54.2 및 이후 버전에서 해결되는 문제: gRPC C++ 구현의 서비스 거부 취약점. 특별히 작성된 요청이 프록시와 백엔드 간의 연결 해제를 초래할 수 있습니다. 원격 데이터 무단 반출 취약점: 헤더 크기 제한으로 인한 HPACK 테이블의 비동기화 때문에 프록시 백엔드에서 프록시에 연결된 다른 클라이언트의 헤더 데이터가 유출될 수 있습니다.
  • 1.52.2, 1.53 및 이후 버전에서 해결되는 문제: gRPC C++ 구현 내 서비스 거부 취약점: 특별히 작성된 일부 요청을 파싱하는 경우 비정상 종료로 이어져 서버에 영향을 미칠 수 있습니다.

위에 나열된 다음 소프트웨어 패키지의 최신 버전으로 업그레이드하는 것이 좋습니다.

높음(CVE-2023-1428, CVE-2023-32731). 중간(CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

게시: 2023년 6월 6일

설명

설명 심각도 참고

드라이버 로그에 액세스할 수 있는 행위자가 서비스 계정 토큰을 관찰할 수 있는 secret-store-csi-driver에서 새 취약점(CVE-2023-2878)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

없음 CVE-2023-2878

GCP-2023-008

게시: 2023년 6월 5일

설명

설명 심각도 참고

Linux 커널에서 노드 루트로 권한 에스컬레이션을 일으킬 수 있는 새로운 취약점(CVE-2023-1872)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-1872

GCP-2023-007

게시: 2023년 6월 2일

설명

설명 심각도 참고

SQL 서버용 Cloud SQL에서 고객 관리자 계정이 tempdb 데이터베이스에 트리거를 만들고 이를 사용해서 인스턴스에서 sysadmin 권한을 획득할 수 있는 취약점이 최근에 발견되었습니다. sysadmin 권한이 있으면 공격자가 시스템 데이터베이스에 액세스할 수 있고 해당 SQL Server 인스턴스를 실행하는 머신에 대한 부분 액세스 권한이 부여됩니다.

Google Cloud는 2023년 3월 1일 보안 취약점 패치를 통해 이 문제를 해결했습니다. Google Cloud에서는 고객 인스턴스가 손상된 것을 발견하지 못했습니다.

자세한 안내 및 세부정보는 Cloud SQL 보안 게시판을 참조하세요.

높음

GCP-2023-005

게시: 2023년 5월 18일

업데이트: 2023년 6월 6일

설명

설명 심각도 참고

2023년 6월 6일 업데이트: CVE-2023-1281 및 CVE-2023-1829에 패치를 적용하는 최신 Ubuntu 버전이 포함되도록 새 GKE 버전이 업데이트되었습니다.


Linux 커널에서 노드의 루트에 권한 에스컬레이션이 발생할 수 있는 두 가지 새로운 취약점(CVE-2023-1281 및 CVE-2023-1829)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-1281 CVE-2023-1829

GCP-2023-004

게시: 2023년 4월 26일

설명

설명 심각도 참고

신뢰 플랫폼 모듈(TPM) 2.0에서 두 가지 취약점(CVE-2023-1017CVE-2023-1018)이 발견되었습니다.

이 취약점으로 인해 정교한 공격자가 특정 Compute Engine VM에서 범위를 벗어난 2바이트의 읽기/쓰기를 악용할 수 있습니다.

자세한 내용 및 안내는 Compute Engine 보안 게시판을 참조하세요.

중간

GCP-2023-003

게시: 2023년 4월 11일

업데이트: 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


Linux 커널에서 권한이 없는 사용자가 권한을 에스컬레이션할 수 있는 두 가지 새로운 취약점 CVE-2023-0240 및 CVE-2023-23586이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2023-0240, CVE-2023-23586

GCP-2023-002

설명

설명 심각도 참고

다음 CVE는 Cloud Service Mesh를 악용 가능한 취약점에 노출합니다.

  • CVE-2023-27496: Envoy에서 활성화된 OAuth 필터가 노출된 상태로 실행 중인 경우 악의적인 행위자가 Envoy를 비정상 종료하여 서비스 거부를 유발할 수 있는 요청을 생성할 수 있습니다.
  • CVE-2023-27488: 공격자는 이 취약점을 이용하여 ext_authz가 사용될 때 인증 검사를 우회할 수 있습니다.
  • CVE-2023-27493: Envoy 구성에는 피어 인증서 SAN인 요청의 입력을 사용하여 생성된 요청 헤더를 추가하는 옵션도 포함해야 합니다.
  • CVE-2023-27492: 공격자는 Lua 필터가 사용 설정된 경로에 대해 대규모 요청 본문을 전송하고 비정상 종료를 트리거할 수 있습니다.
  • CVE-2023-27491: 공격자는 HTTP/1 업스트림 서비스에서 파싱 오류를 트리거하도록 특별히 제작된 HTTP/2 또는 HTTP/3 요청을 보낼 수 있습니다.
  • CVE-2023-27487: x-envoy-original-path 헤더는 내부 헤더여야 하지만, Envoy는 신뢰할 수 없는 클라이언트에서 보낸 요청 처리 시작 시 요청에서 이 헤더를 삭제하지 않습니다.

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

높음

GCP-2023-001

게시: 2023년 3월 1일, 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


Linux 커널에서 노드의 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-4696)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2022-4696

GCP-2022-026

게시: 2023년 1월 11일

설명

설명 심각도 참고

OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

중간

GCP-2022-025

게시: 2022년 12월 21일
업데이트: 2023년 1월 19일, 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있다는 정보가 추가되었습니다.


OpenSSL v3.0.6에서 충돌을 일으킬 수 있는 두 가지 새로운 취약점(CVE-2022-3786 및 CVE-2022-3602)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

중간

GCP-2022-024

게시: 2022년 11월 9일

업데이트: 2023년 1월 19일

설명

설명 심각도 참고

2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있다는 정보가 추가되었습니다.

2022년 12월 16일 업데이트: GKE 및 VMware용 GKE의 패치 버전이 추가되었습니다.


Linux 커널에서 전체 컨테이너가 노드의 루트로 침입할 수 있는 두 가지 새로운 취약점(CVE-2022-2585 및 CVE-2022-2588)이 발견되었습니다.

자세한 내용 및 안내는 다음을 참조하세요.

높음

GCP-2022-023

게시: 2022년 11월 4일

설명

설명 심각도 참고

Cloud Service Mesh에서 사용되는 Istio에서 악의적인 공격자가 컨트롤 플레인을 비정상 종료할 수 있는 보안 취약점 CVE-2022-39278이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2022-39278

GCP-2022-022

게시: 2022년 10월 28일

업데이트: 2022년 12월 14일

설명

설명 심각도 참고

2022년 12월 14일 업데이트: GKE 및 VMware용 GKE의 패치 버전이 추가되었습니다.


Linux 커널에서 권한 없는 사용자가 시스템 실행 권한으로 에스컬레이션할 수 있는 새로운 취약점(CVE-2022-20409)이 발견되었습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2022-20409

GCP-2022-021

게시: 2022년 10월 27일

업데이트: 2023년 1월 19일, 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


2023년 1월 19일 업데이트: GKE 버전 1.21.14-gke.14100을 사용할 수 있다는 정보가 추가되었습니다.

2022년 12월 15일 업데이트: Google Kubernetes Engine 버전 1.21.14-gke.9400은 출시 대기 중이며 더 높은 버전 번호로 대체될 수 있다는 정보가 업데이트되었습니다.

2022년 11월 22일 업데이트: VMware용 GKE, AWS용 GKE, Azure용 GKE에 대한 패치 버전이 추가되었습니다.


Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-3176)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2022-3176

GCP-2022-020

게시: 2022년 10월 5일

업데이트: 2022년 10월 12일

설명

설명 심각도 참고

Istio 컨트롤 플레인 istiod는 요청 처리 오류에 취약하므로 클러스터의 검증 웹훅이 공개적으로 노출될 때 악의적인 공격자가 특수하게 조작된 메시지를 보내 컨트롤 플레인에서 충돌이 발생할 수 있습니다. 이 엔드포인트는 TLS 포트 15017을 통해 제공되지만 공격자의 인증이 필요하지 않습니다.

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

높음 CVE-2022-39278

GCP-2022-019

게시: 2022년 9월 22일

설명

설명 심각도 참고

ProtocolBuffer의 C++ 및 Python 구현의 메시지 파싱 및 메모리 관리 취약점으로 인해 특별히 작성된 메시지를 처리할 때 메모리 부족(OOM) 오류가 트리거될 수 있습니다. 이로 인해 라이브러리를 사용하는 서비스에 대한 서비스 거부(DoS)가 발생할 수 있습니다.

어떻게 해야 하나요?

다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.

  • protobuf-cpp(3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python(3.18.3, 3.19.5, 3.20.2, 4.21.6)

이 패치로 어떤 취약점이 해결되나요?

이 패치로 다음의 취약점이 완화됩니다.

실행 중인 서비스가 대량의 RAM을 할당하도록 하는 특별히 구성된 작은 크기의 메시지 메시지입니다. 요청의 크기가 작으면 쉽게 취약점을 활용하고 리소스를 소진할 수 있습니다. 신뢰할 수 없는 protobuf를 소비하는 C++ 및 Python 시스템은 RPC 요청에 MessageSet 객체가 포함된 경우 DoS 공격에 취약합니다.

중간 CVE-2022-1941

GCP-2022-018

게시: 2022년 8월 1일

업데이트: 2022년 9월 14일, 2023년 12월 21일

설명

설명 심각도 참고

2023년 12월 21일 업데이트: 기본 구성의 GKE Autopilot 클러스터에 영향이 없음을 명시합니다.


2022년 9월 14일 업데이트: VMware용 GKE, AWS용 GKE, Azure용 GKE의 패치 버전이 추가되었습니다.


Linux 커널에서 로컬 권한 에스컬레이션이 발생할 수 있는 새로운 취약점(CVE-2022-2327)이 발견되었습니다. 이 취약점으로 인해 권한이 없는 사용자가 노드에서 루트로 가는 전체 컨테이너에 침입할 수 있습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음 CVE-2022-2327

GCP-2022-017

게시: 2022년 6월 29일
업데이트: 2022년 11월 22일

설명

설명 심각도 참고

2022년 11월 22일 업데이트: GKE Sandbox를 사용하는 워크로드는 이러한 취약점의 영향을 받지 않습니다.


2022년 7월 21일 업데이트: VMware용 GKE에 관한 추가 정보


Linux 커널 버전 5.10 및 5.11에서 새로운 취약점(CVE-2022-1786)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 있는 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. Container-Optimized OS를 실행하는 클러스터만 영향을 받습니다. GKE Ubuntu 버전은 커널 5.4 또는 5.15 버전을 사용하며 영향을 받지 않습니다.

자세한 내용 및 안내는 다음을 참조하세요.

높음 CVE-2022-1786

GCP-2022-016

게시: 2022년 6월 23일
업데이트: 2022년 11월 22일

설명

설명 심각도 참고

2022년 11월 22일 업데이트: Autopilot 클러스터는 CVE-2022-29581의 영향을 받지 않지만 CVE-2022-29582 및 CVE-2022-1116에 취약합니다.


Linux 커널에서 3개의 새로운 메모리 손상 취약점(CVE-2022-29581, CVE-2022-29582, CVE-2022-1116)이 발견되었습니다. 이 취약점으로 인해 클러스터에 대한 로컬 액세스 권한이 없는 사용자가 노드의 루트에 대한 전체 컨테이너에 침입할 수 있습니다. 모든 Linux 클러스터(Container-Optimized OS 및 Ubuntu)가 영향을 받습니다.

자세한 내용 및 안내는 다음 게시판을 참조하세요.

높음

GCP-2022-015

게시: 2022년 6월 9일
업데이트: 2022년 6월 10일

설명

설명 심각도 참고

2022년 6월 10일 업데이트: Cloud Service Mesh 버전이 업데이트되었습니다. 자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.


다음 Envoy 및 Istio CVE는 Cloud Service Mesh와 Istio on GKE를 원격으로 악용 가능한 취약점에 노출합니다.

  • CVE-2022-31045: 메타데이터 교환 및 통계 확장 프로그램이 사용 설정되면 Istio 데이터 영역이 안전하지 않은 방식으로 메모리에 액세스할 수 있습니다.
  • CVE-2022-29225: 악의적인 공격자가 고도로 압축된 작은 페이로드(zip 폭탄 공격)를 전달하면 데이터가 중간 버퍼 한도를 초과할 수 있습니다.
  • CVE-2021-29224: GrpcHealthCheckerImpl의 잠재적인 null 포인터 역참조.
  • CVE-2021-29226: OAuth 필터로 간단한 우회가 허용됩니다.
  • CVE-2022-29228: OAuth 필터는 메모리를 손상시키거나(이전 버전) ASSERT()를 트리거할 수 있습니다(이후 버전).
  • CVE-2022-29227: 본문 또는 트레일러 요청에 대한 내부 리디렉션 장애입니다.

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

매우 심각

GCP-2022-014

게시: 2022년 4월 26일
업데이트: 2022년 11월 22일

설명

설명 심각도 참고

2022년 11월 22일 업데이트: GKE Sandbox에서 실행되는 GKE Autopilot 클러스터 및 워크로드는 영향을 받지 않습니다.


2022년 5월 12일 업데이트: AWS용 GKE 및 Azure용 GKE 버전이 업데이트되었습니다. 자세한 내용 및 안내는 다음을 참조하세요.

Linux 커널에서 두 가지 보안 취약점 CVE-2022-1055CVE-2022-27666이 발견되었습니다. 이로 인해 로컬 공격자가 컨테이너 침입, 호스트에서 권한 에스컬레이션을 수행하거나 둘 다 수행할 수 있습니다. 이러한 취약점은 모든 GKE 노드 운영체제(Container-Optimized OS 및 Ubuntu)에 영향을 줍니다. 자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

높음 CVE-2022-1055
CVE-2022-27666

GCP-2022-013

게시: 2022년 4월 11일
업데이트: 2022년 4월 22일

설명

설명 심각도 참고

보안 취약점 CVE-2022-23648은 OCI 이미지 볼륨 사양의 containerd 경로 순회 처리에서 발견되었습니다. 특별히 제작된 이미지 구성으로 containerd의 CRI 구현을 통해 시작된 컨테이너는 호스트의 임의 파일 및 디렉터리에 대한 전체 읽기 액세스 권한을 얻을 수 있습니다. 이 취약점은 컨테이너 설정에 대한 정책 기반 시행(Kubernetes 포드 보안 정책 포함)을 우회할 수 있습니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

중간 CVE-2022-23648

GCP-2022-012

게시: 2022년 4월 7일
업데이트: 2022년 11월 22일

설명

설명 심각도 참고

2022년 11월 22일 업데이트: Standard 및 Autopilot 모드의 GKE 클러스터의 경우 GKE Sandbox를 사용하는 워크로드는 영향을 받지 않습니다.


Linux 커널 버전 5.8 이상에서 보안 취약점 CVE-2022-0847이 발견되었으며 컨테이너 권한이 루트로 에스컬레이션될 수 있습니다. 이 취약점은 다음 제품에 영향을 미칩니다.

  • Container-Optimized OS 이미지(Container-Optimized OS 93 이상)를 사용하는 GKE 노드 풀 버전 1.22 이상
  • Container-Optimized OS 이미지를 위한 VMware용 GKE v1.10
  • AWS용 GKE v1.21 및 AWS용 GKE(이전 세대) v1.19, v1.20, v1.21(Ubuntu 사용)
  • Ubuntu를 사용하는 Azure용 GKE v1.21의 관리형 클러스터

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

높음 CVE-2022-0847

GCP-2022-011

게시: 2022년 3월 22일
업데이트: 2022년 8월 11일

설명

설명 심각도

2022년 8월 11일 업데이트: 동시 멀티 스레딩(SMT) 구성에 대한 자세한 정보가 추가되었습니다. SMT는 사용 중지되었지만 나열된 버전에서 사용 설정되었습니다.

샌드박스 처리된 노드 풀에 수동으로 SMT를 사용 설정한 경우 이 문제가 발생하더라도 SMT는 수동으로 사용 설정된 상태를 유지합니다.


GKE Sandbox 이미지에 하이퍼 스레딩이라고도 하는 동시 멀티 스레딩(SMT)이 잘못 구성되어 있습니다. 잘못된 구성으로 인해 노드가 마이크로아키텍처 데이터 샘플링(MDS)과 같은 부채널 공격에 노출될 수 있습니다. 자세한 내용은 GKE Sandbox 문서를 참조하세요. 영향을 받는 다음 버전을 사용하지 않는 것이 좋습니다.

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

자세한 안내 및 정보는 GKE 보안 게시판을 참조하세요.

중간

GCP-2022-010

설명

설명 심각도 참고

다음 Istio CVE는 Cloud Service Mesh를 원격으로 악용 가능한 취약점에 노출합니다.

  • CVE-2022-24726: Istio 컨트롤 플레인 `istiod`는 요청 처리 오류에 취약하므로 클러스터의 검증 웹훅이 공개적으로 노출될 때 악의적인 공격자가 특수하게 조작된 메시지를 보내 컨트롤 플레인에서 충돌이 발생할 수 있습니다. 이 엔드포인트는 TLS 포트 15017을 통해 제공되지만 공격자의 인증이 필요하지 않습니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

높음

GCP-2022-009

게시: 2022년 3월 1일

설명

설명 심각도

GKE Autopilot 클러스터에서 노드 VM에 액세스하기 위한 일부 예기치 않은 경로가 클러스터의 권한 승격을 위해 사용되었습니다. 이 문제는 해결되었으며 추가 조치가 필요하지 않습니다. 이 수정사항은 취약성 발견 보상 프로그램을 통해 보고된 문제를 해결합니다.

자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

낮음

GCP-2022-008

게시: 2022년 2월 23일
업데이트: 2022년 4월 28일

설명

설명 심각도 참고

2022년 4월 28일 업데이트: 이러한 취약점을 해결하는 VMware용 GKE 버전이 추가되었습니다. 자세한 내용은 VMware용 GKE 보안 게시판을 참조하세요.


Envoy 프로젝트에서 최근에 몇 가지 취약점이 발견되었습니다. 아래에 나열된 모든 문제는 Envoy 출시 버전 1.21.1에서 수정되었습니다.
  • CVE-2022-23606: 클러스터 검색 서비스(CDS)를 통해 클러스터가 삭제되면 해당 클러스터의 엔드포인트에 설정된 모든 유휴 연결이 끊어집니다. Envoy 버전 1.19에서는 클러스터에 많은 수의 유휴 연결이 있을 때 스택 소진 및 비정상 프로세스 종료를 초래할 수 있는 유휴 연결 해제 절차에 반복이 잘못 도입되었습니다.
  • CVE-2022-21655: Envoy의 내부 리디렉션 코드는 경로 항목이 존재한다고 가정합니다. 직접 반응 항목이 있고 경로 항목이 없는 경로로 내부 리디렉션이 수행되면 null 포인터가 역참조되고 다운됩니다.
  • CVE-2021-43826: HTTP를 통한 업스트림 터널링과 다운스트림 TLS 종료를 사용하는 tcp_proxy를 사용하도록 Envoy가 구성된 경우, HTTP 스트림을 아직 설정하는 동안 TLS 핸드셰이크 중에 다운스트림 연결이 끊기면 Envoy는 비정상 종료됩니다. 다운스트림 연결 해제는 클라이언트 또는 서버에서 시작될 수 있습니다. 클라이언트는 어떠한 이유로든 연결을 해제할 수 있습니다. 예를 들어 클라이언트와 호환되는 TLS 암호화 또는 TLS 프로토콜 버전이 없는 경우 서버의 연결이 해제될 수 있습니다. 다른 다운스트림 구성에서도 이 비정상 종료가 발생할 수 있습니다.
  • CVE-2021-43825: 로컬로 생성된 응답을 전송하면 요청 또는 응답 데이터의 추가 처리가 중단되어야 합니다. Envoy는 버퍼링된 요청과 응답 데이터의 양을 추적하고, 버퍼링된 데이터의 양이 413개 또는 500개의 응답을 전송하여 한도를 초과하는 경우 요청을 취소합니다. 그러나 필터 체인에서 응답이 처리되는 동안 내부 버퍼 오버플로로 인해 로컬에서 생성된 응답이 전송되면 작업이 올바르게 취소되지 않고 해제된 메모리 블록에 액세스할 수 있습니다.
  • CVE-2021-43824: JWT 필터를 'safe_regex' 일치 규칙과 함께 사용하고 'CONNECT host:port HTTP/1.1'과 같이 특수하게 조작된 요청을 사용할 때 Envoy가 비정상 종료됩니다. JWT 필터에 도달하면 'safe_regex' 규칙이 URL 경로를 평가해야 하지만 여기에 경로가 없고, Envoy는 segfault와 함께 비정상 종료됩니다.
  • CVE-2022-21654: Envoy는 mTLS 유효성 검사 설정이 재구성된 후 TLS 세션 재개를 잘못 허용합니다. 클라이언트 인증서가 이전 구성에서는 허용되었지만 새 구성에서는 허용되지 않은 경우, 클라이언트는 현재 TLS 구성에서 허용하지 않더라도 이전 TLS 세션을 재개할 수 있습니다. 영향을 받는 설정은 다음과 같습니다.
    • match_subject_alt_names
    • CRL 변경사항
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657 Envoy는 피어에서 수락하는 인증서 집합을 TLS 클라이언트 또는 TLS 서버로 제한하지 않으며 필요한 extendedKeyUsage(각각 id-kp-serverAuth 및 id-kp-clientAuth)가 포함된 인증서만 제한합니다. 즉, 피어는 이메일 인증서(예: id-kp-emailProtection)를 리프 인증서 또는 체인의 CA로 제공할 수 있으며 TLS에 대해 수락됩니다. 이는 CVE-2022-21656과 결합되는 경우 특히 문제가 됩니다. S/MIME에서만 사용할 수 있는 웹 PKI CA가 허용되므로 감사 또는 감독에서 면제되어 Envoy에서 수락할 TLS 인증서를 발급합니다.
  • CVE-2022-21656: 기본 인증서 유효성 검사 루틴을 구현하는 데 사용되는 검사기 구현에는 subjectAltNames를 처리할 때 '유형 혼동' 버그가 있습니다. 이 처리를 통해 예를 들어 rfc822Name 또는 uniformResourceIndicator를 도메인 이름으로 인증할 수 있습니다. 이러한 혼동은 기본 OpenSSL/BoringSSL 구현에 의해 처리되는 nameConstraints를 우회하여 임의의 서버 명의 도용 가능성을 노출합니다.
특정 제품에 대한 자세한 내용은 다음 보안 게시판을 참조하세요.
어떻게 해야 하나요?
자체 Envoy를 관리하는 Envoy 사용자는 Envoy 출시 버전 1.21.1을 사용해야 합니다. 자체 Envoy를 관리하는 Envoy 사용자는 GitHub와 같은 소스에서 바이너리를 빌드하여 배포합니다.

Google Cloud 제품이 1.21.1로 전환되는 관리형 Envoy(Google Cloud에서 Envoy 바이너리 제공)를 실행하는 사용자가 취해야 할 조치는 없습니다.
높음 CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

게시: 2022년 2월 22일

설명

설명 심각도 참고

다음 Envoy 및 Istio CVE는 Cloud Service Mesh와 Istio on GKE를 원격으로 악용 가능한 취약점에 노출합니다.

  • CVE-2022-23635: 특별히 제작된 authorization 헤더로 요청 수신 시 Istiod가 비정상 종료됨
  • CVE-2021-43824: JWT 필터 safe_regex 일치를 사용할 때 발생할 수 있는 null 포인터 역참조
  • CVE-2021-43825: 응답 필터가 응답 데이터를 늘리고 증가된 데이터가 다운스트림 버퍼 한도를 초과할 때, Use-after-free
  • CVE-2021-43826: HTTP를 통해 TCP를 터널링할 때 Use-after-free(업스트림 연결 설정 중에 다운스트림 연결이 끊어지는 경우)
  • CVE-2022-21654: 잘못된 구성 처리로 검증 설정이 변경된 후 재검증 없이 mTLS 세션 재사용 허용
  • CVE-2022-21655: 직접 응답 항목이 있는 경로에 대한 내부 리디렉션을 잘못 처리
  • CVE-2022-23606: 클러스터 탐색 서비스를 통해 클러스터가 삭제될 때 스택 소진

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

높음

GCP-2022-006

게시: 2022년 2월 14일
업데이트: 2022년 5월 16일

설명

설명 심각도 참고

2022년 5월 16일 업데이트: 이 취약점을 해결하기 위한 코드가 있는 버전 목록에 GKE 버전 1.19.16-gke.7800 이상이 추가되었습니다. 자세한 내용은 GKE 보안 게시판을 참조하세요.


2022년 5월 12일 업데이트: GKE, VMware용 GKE, AWS용 GKE, Azure용 GKE 버전이 업데이트되었습니다. 자세한 내용 및 안내는 다음을 참조하세요.


Linux 커널의 cgroup_release_agent_write 함수에서 보안 취약점 CVE-2022-0492가 발견되었습니다. 공격은 권한이 없는 사용자 네임스페이스를 사용하며 특정 상황에서 이 취약점이 컨테이너 침입에 악용될 수 있습니다.

낮음

자세한 내용 및 안내는 다음을 참조하세요.

GCP-2022-005

게시: 2022년 2월 11일
업데이트: 2022년 2월 15일

설명

설명 심각도 참고

보안 취약점 CVE-2021-43527은 3.73 또는 3.68.1 이전 버전의 NSS(네트워크 보안 서비스)에서 발견된 취약한 libnss3 버전에 연결되는 바이너리에서 발견되었습니다. 인증서 유효성 검사나 기타 TLS, X.509, OCSP 또는 CRL 기능에 NSS를 사용하는 애플리케이션은 NSS 사용/구성 방식에 따라 영향을 받을 수 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

중간 CVE-2021-43527

GCP-2022-004

게시: 2022년 2월 4일

설명

설명 심각도 참고

Linux 정책 키트 패키지(polkit)의 일부인 pkexec에서 보안 취약점 CVE-2021-4034가 발견되었으며, 이 취약점은 인증된 사용자가 권한 에스컬레이션 공격을 수행할 수 있도록 합니다. PolicyKit는 일반적으로 루트가 아닌 사용자가 정책에 따라 시스템 재부팅, 패키지 설치, 서비스 재시작과 같은 작업을 수행할 수 있도록 하는 Linux 데스크톱 시스템에서만 사용됩니다.

자세한 내용 및 안내는 다음을 참조하세요.

없음 CVE-2021-4034

GCP-2022-002

게시: 2022년 2월 1일
업데이트: 2022년 2월 25일

설명

설명 심각도 참고

2022년 2월 25일 업데이트: GKE 버전이 업데이트되었습니다. 안내 및 자세한 내용은 다음을 참조하세요.

2022년 2월 23일 업데이트: GKE 및 VMware용 GKE 버전이 업데이트되었습니다. 자세한 내용 및 안내는 다음을 참조하세요.


2022년 2월 4일 업데이트: GKE 패치 버전의 출시 시작일은 2월 2일였습니다.


Linux 커널에서 CVE-2021-4154, CVE-2021-22600, CVE-2022-0185의 세 가지 보안 취약점이 발견되었으며, 각각은 컨테이너 침입, 호스트의 권한 에스컬레이션 또는 둘 다로 이어질 수 있습니다. 이러한 취약점은 GKE의 모든 노드 운영체제(COS 및 Ubuntu), VMware용 GKE, AWS용 GKE(현재 및 이전 세대), Azure용 GKE에 영향을 미칩니다. GKE Sandbox를 사용하는 포드는 이 취약점에 취약하지 않습니다. 자세한 내용은 COS 출시 노트를 참조하세요.

자세한 내용 및 안내는 다음을 참조하세요.

높음

GCP-2022-001

게시: 2022년 1월 6일

설명

설명 심각도 참고

protobuf-java의 잠재적인 서비스 거부 문제가 바이너리 데이터의 파싱 절차에서 발견되었습니다.

어떻게 해야 하나요?

다음 소프트웨어 패키지의 최신 버전을 사용하고 있는지 확인합니다.

  • protobuf-java(3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin(3.18.2, 3.19.2)
  • google-protobuf [JRuby gem](3.19.2)

Protobuf 'javalite' 사용자(일반적으로 Android)는 영향을 받지 않습니다.

이 패치로 어떤 취약점이 해결되나요?

이 패치로 다음의 취약점이 완화됩니다.

Java에서 알 수 없는 필드가 파싱되는 방식의 구현 단점입니다. 소량(800KB 미만)의 악성 페이로드는 반복 가비지 컬렉션 일시중지를 자주 초래하는 단기 객체를 대량으로 만들어 몇 분 동안 파서를 차지할 수 있습니다.

높음 CVE-2021-22569

GCP-2021-024

게시: 2021년 10월 21일

설명

설명 심각도 참고

Kubernetes ingress-nginx 컨트롤러 CVE-2021-25742에 보안 문제가 검색되었습니다. Ingress-nginx 커스텀 스니펫은 모든 네임스페이스에서 ingress-nginx 서비스 계정 토큰 및 보안 비밀을 검색하도록 허용합니다.

자세한 내용 및 안내는 다음을 참조하세요.

없음 CVE-2021-25742

GCP-2021-019

게시: 2021년 9월 29일

설명

설명 심각도 참고

해당 서비스에서 활성 Google Cloud Armor 보안 정책을 삭제하는 v1beta1 API를 사용하여 BackendConfig 리소스를 업데이트할 때 알려진 문제가 있습니다.

자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

낮음

GCP-2021-022

게시: 2021년 9월 22일

설명

설명 심각도 참고

키 생성에 사용되는 시드 키를 예측할 수 있는 VMware용 GKE 버전 1.8 및 1.8.1의 GKE Enterprise Identity Service(AIS) LDAP 모듈에서 취약점이 발견되었습니다. 이 취약점으로 인해 인증된 사용자는 임의 클레임을 추가하고 권한을 무기한 에스컬레이션할 수 있습니다.

자세한 안내 및 정보는 VMware용 GKE 보안 게시판을 참조하세요.

높음

GCP-2021-021

게시: 2021년 9월 22일

설명

설명 심각도 참고

보안 취약점 CVE-2020-8561이 Kubernetes에서 발견되었으며, 이 API에서 특정 웹훅을 만들면 kube-apiserver 요청을 이 API 서버의 비공개 네트워크로 리디렉션할 수 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

중간 CVE-2020-8561

GCP-2021-023

게시: 2021년 9월 21일

설명

설명 심각도 참고

VMware 보안 권고 VMSA-2021-0020에 따라 VMware는 vCenter의 여러 취약점에 대한 보고서를 받았습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다.

VMware 보안 권장사항에 따라 VMware에서 vSphere 스택에 제공하는 패치를 Google Cloud VMware Engine에 이미 적용했습니다. 이 업데이트는 CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, CVE-2021-22010에 설명된 보안 취약점을 해결합니다. 기타 심각하지 않은 보안 문제는 예정된 VMware 스택 업그레이드에서 해결될 예정입니다(7월에 전송된 사전 알림에 따라 업그레이드의 특정 일정에서 자세한 내용이 곧 제공될 예정).

VMware Engine의 영향

조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다.

어떻게 해야 하나요?

VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

매우 심각

GCP-2021-020

게시: 2021년 9월 17일

설명

설명 심각도 참고

IAP(Identity-Aware Proxy)가 사용 설정된 백엔드 서비스로 라우팅하는 특정 Google Cloud 부하 분산기가 제한된 조건에서 신뢰할 수 없는 당사자에게 취약할 수 있었습니다. 이번 변경은 Google의 취약성 발견 보상 프로그램에서 보고된 문제를 다룹니다.

서버가 다음과 같은 조건이었습니다.
  • HTTP(S) 부하 분산기였으며
  • 기본 백엔드 또는 와일드 카드 호스트 매핑 규칙(host="*")이 있는 백엔드를 사용하였습니다.

또한 조직의 사용자는 신뢰할 수 없는 사용자가 보낸 특별히 제작된 링크를 클릭하였습니다.

이 조치로 이제 문제가 해결되었습니다. 2021년 9월 17일부터 승인된 호스트에만 쿠키를 발급하도록 IAP가 업데이트되었습니다. 호스트는 부하 분산기에 설치된 인증서 중 하나에서 1개 이상의 주체 대체 이름(SAN)과 일치하는 경우 승인된 호스트로 간주됩니다.

필요한 조치

일부 사용자의 경우 앱이나 서비스에 액세스하려는 동안 IAP 오류 코드 52와 함께 HTTP 401 Unauthorized 응답 오류가 발생할 수 있습니다. 이러한 오류 코드는 클라이언트가 부하 분산기의 SSL 인증서와 연결된 주체 대체 이름과 일치하지 않는 Host 헤더를 보냈음을 의미합니다. 부하 분산기 관리자는 사용자가 IAP로 보호되는 앱 또는 서비스에 액세스하는 데 사용하는 모든 호스트 이름이 주체 대체 이름(SAN) 목록에 포함되도록 SSL 인증서를 업데이트해야 합니다. IAP 오류 코드에 대해 자세히 알아보세요.

높음

GCP-2021-018

게시: 2021년 9월 15일
업데이트: 2021년 9월 20일

설명

설명 심각도 참고

Kubernetes, CVE-2021-25741에서 보안 문제가 발견되었으며, 여기에는 사용자가 subpath 볼륨 마운트를 사용하는 컨테이너를 생성해 호스트 파일 시스템을 포함한 볼륨 외부의 파일 및 디렉터리에 액세스할 수 있다는 문제가 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

높음 CVE-2021-25741

GCP-2021-017

게시: 2021년 9월 1일
업데이트: 2021년 9월 23일

설명

설명 심각도 참고

2021년 9월 23일 업데이트: GKE Sandbox 내에서 실행되는 컨테이너는 컨테이너 내부에서 발생한 공격에 대한 이 취약점의 영향을 받지 않습니다.


Linux 커널에서 2개의 보안 취약점 CVE-2021-33909 및 CVE-2021-33910이 발견되었습니다. OS 비정상 종료 또는 권한이 없는 사용자의 루트 에스컬레이션으로 이어질 수 있습니다. 이 취약점은 모든 GKE 노드 운영체제(COS 및 Ubuntu)에 영향을 미칩니다.

안내 및 자세한 내용은 다음 보안 게시판을 참조하세요.

높음 CVE-2021-33909, CVE-2021-33910

GCP-2021-016

게시: 2021년 8월 24일

설명

설명 심각도 참고

다음 Envoy 및 Istio CVE는 Cloud Service Mesh와 Istio on GKE를 원격으로 악용 가능한 취약점에 노출합니다.

  • CVE-2021-39156: URI 경로에 조각(URI의 끝 부분에 # 문자로 시작하는 섹션)이 있는 HTTP 요청은 Istio의 URI 경로 기반 승인 정책을 우회할 수 있습니다.
  • CVE-2021-39155: hosts 또는 notHosts 기반 규칙 사용 시 HTTP 요청이 Istio 승인 정책을 우회할 수 있습니다.
  • CVE-2021-32781: 요청 또는 응답 본문의 크기를 수정하고 늘리는 Envoy의 decompressor, json-transcoder, grpc-web 확장 프로그램 또는 독점 확장 프로그램에 영향을 미칩니다. Envoy 확장 프로그램에서 본문 크기를 내부 버퍼 크기 이상으로 수정하고 늘리면 Envoy가 할당 해제된 메모리에 액세스하고 비정상적으로 종료될 수 있습니다.
  • CVE-2021-32780: 신뢰할 수 없는 업스트림 서비스가 GOAWAY 프레임을 전송하고 이어서 SETTINGS_MAX_CONCURRENT_STREAMS 매개변수가 0로 설정된 SETTINGS 프레임을 전송하여 Envoy가 비정상적으로 종료될 수 있습니다. (Istio on GKE에는 적용되지 않음)
  • CVE-2021-32778: Envoy 클라이언트를 연 후 많은 수의 HTTP/2 요청을 재설정하면 CPU가 과도하게 사용될 수 있습니다. (Istio on GKE에는 적용되지 않음)
  • CVE-2021-32777: ext_authz 확장 프로그램을 사용되는 경우 값 헤더가 여러 개인 HTTP 요청이 불완전한 승인 정책 검사를 수행할 수 있습니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

높음

GCP-2021-015

게시: 2021년 7월 13일
업데이트: 2021년 7월 15일

설명

설명 심각도 참고

CAP_NET_ADMIN 권한이 있는 악의적인 행위자가 호스트의 루트에 컨테이너 침입을 유발할 수 있는 신규 보안 취약점인 CVE-2021-22555가 발견되었습니다. 이 취약점은 Linux 버전 2.6.19 이상을 실행하는 모든 GKE 클러스터와 VMware용 GKE에 영향을 미칩니다.

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.

높음 CVE-2021-22555

GCP-2021-014

게시: 2021년 7월 5일

설명

설명 심각도 참고

Microsoft는 Windows 서버에서 인쇄 스풀러에 영향을 주는 원격 코드 실행(RCE) 취약점에 대한 보안 게시글 CVE-2021-34527을 게시했습니다. CERT 조정 센터(CERT/CC)는 PrintNightmare, Critical Windows Print Spooler Vulnerability라는 Windows 인쇄 스풀러에도 영향을 주는 'PrintNightmare'라는 표현을 이용해서 관련 취약점에 대한 업데이트 정보를 게시했습니다.

자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

높음 CVE-2021-34527

GCP-2021-012

게시: 2021년 6월 24일
업데이트: 2021년 7월 9일

설명

설명 심각도 참고

Istio 프로젝트는 최근 게이트웨이 및 DestinationRule credentialName 필드에 지정된 사용자 인증 정보에 여러 네임스페이스에서 액세스할 수 있는 보안 취약점을 발표했습니다.

제품별 자세한 내용 및 안내는 다음을 참조하세요.

높음 CVE-2021-34824

GCP-2021-011

게시: 2021년 6월 4일
업데이트: 2021년 10월 19일

설명

설명 심각도 참고

2021년 10월 19일 업데이트:

자세한 내용 및 안내는 다음 보안 게시판을 참조하세요.


runc에서 발견된 노드 파일 시스템에 대해 전체 액세스를 허용할 수 있는 새로운 보안 취약점(CVE-2021-30465)이 최근 보안 커뮤니티에서 공개되었습니다.

GKE의 경우 이 취약점을 악용하기 위해서는 포드 만들기 기능이 필요하기 때문에 이 취약점의 심각도가 중간으로 지정되었습니다.

자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

중간 CVE-2021-30465

GCP-2021-010

게시: 2021년 5월 25일

설명

설명 심각도 참고

VMware 보안 권고 VMSA-2021-0010에 따라 vSphere 클라이언트(HTML5)의 원격 코드 실행 및 인증 우회 취약점이 VMware에 비공개로 보고되었습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다.

VMware 보안 권고에 따라 VMware에서 제공한 패치를 vSphere 스택에 적용했습니다. 이 업데이트는 CVE-2021-21985 및 CVE-2021-21986에 설명된 보안 취약점을 해결합니다. VMware Engine 프라이빗 클라우드에서 실행되는 이미지 버전은 적용된 패치를 나타내는 현재의 변경사항을 반영하지 않습니다. 적절한 패치가 설치되었으며 이러한 취약점으로부터 환경이 보호되고 있으므로 안심하셔도 됩니다.

VMware Engine의 영향

조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다.

어떻게 해야 하나요?

VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

매우 심각

GCP-2021-008

게시: 2021년 5월 17일

설명

설명 심각도 참고

Istio에는 게이트웨이가 AUTO_PASSTHROUGH 라우팅 구성으로 구성된 경우 외부 클라이언트가 승인 검사를 우회하여 클러스터의 예상치 못한 서비스에 액세스할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

높음

CVE-2021-31921

GCP-2021-007

게시: 2021년 5월 17일

설명

설명 심각도 참고

Istio에는 슬래시 또는 이스케이프된 슬래시 문자(%2F 또는 %5C)가 여러 개 있는 HTTP 요청 경로가 경로 기반 승인 규칙을 사용할 때 Istio 승인 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.

자세한 내용 및 안내는 Cloud Service Mesh 보안 게시판을 참조하세요.

높음

CVE-2021-31920

GCP-2021-006

게시: 2021년 5월 11일

설명

설명 심각도 참고

Istio 프로젝트는 최근 Istio에 영향을 미치는 새로운 보안 취약점(CVE-2021-31920)을 공개했습니다.

Istio에는 슬래시 또는 이스케이프된 슬래시 문자가 여러 개 있는 HTTP 요청이 경로 기반 승인 규칙을 사용할 때 Istio 승인 정책을 우회할 수 있는 원격으로 악용 가능한 취약점이 포함되어 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

높음

CVE-2021-31920

GCP-2021-005

게시: 2021년 5월 11일

설명

설명 심각도 참고

보고된 취약점에 따르면 Envoy가 Envoy 버전 1.18.2 이하의 HTTP URL 경로에서 이스케이프된 슬래시 시퀀스 %2F%5C를 디코딩하지 않습니다. 또한 일부 Envoy 기반 제품에서도 경로 정규화 제어를 사용 설정하지 않습니다. 원격 공격자가 이스케이프된 슬래시(예: /something%2F..%2Fadmin,)를 사용한 경로를 만들어 액세스 제어를 우회(예: /admin의 블록)할 수 있습니다. 이후 백엔드 서버에서 슬래시 시퀀스를 디코딩하고 경로를 정규화하여 액세스 제어 정책에서 제공하는 범위 이상의 액세스 권한을 공격자에게 제공할 수 있습니다.

어떻게 해야 하나요?

백엔드 서버가 /%2F 또는\%5C를 서로 바꿔서 처리하고 URL 경로 기반 일치가 구성되면 가능한 경우 백엔드 서버를 재구성해 \%2F 또는 \%5C를 서로 바꿔서 처리하지 않도록 하는 것이 좋습니다.

어떤 동작 변경사항이 도입되었나요?

Envoy의 normalize_path인접한 슬래시 병합 옵션이 Envoy 기반 제품의 다른 일반적인 경로 혼동 취약점을 해결하기 위해 사용 설정되었습니다.

높음

CVE-2021-29492

GCP-2021-004

게시: 2021년 5월 6일

설명

설명 심각도 참고

Envoy 및 Istio 프로젝트는 최근 공격자가 Envoy를 손상시킬 수 있는 몇 가지 새로운 보안 취약점(CVE-2021-28683, CVE-2021-28682, CVE-2021-29258)을 발표했습니다.

Google Kubernetes Engine 클러스터는 기본적으로 Istio를 실행하지 않으므로 취약하지 않습니다. Istio가 클러스터에 설치되고 인터넷에 서비스를 노출하도록 구성된 경우 서비스는 서비스 거부에 취약할 수 있습니다.

베어메탈용 Google Distributed Cloud Virtual 및 VMware용 GKE는 기본적으로 인그레스에 Envoy를 사용하므로 인그레스 서비스는 서비스 거부에 취약할 수 있습니다.

안내 및 자세한 내용은 다음 보안 게시판을 참조하세요.

중간

GCP-2021-003

게시: 2021년 4월 19일

설명

설명 심각도 참고

Kubernetes 프로젝트에서 최근에 발표한 새로운 보안 취약점인 CVE-2021-25735는 노드 업데이트가 검증 허용 웹훅을 우회할 수 있습니다.

공격자가 충분한 권한이 있고 이전 Node 객체 속성(예: Node.NodeSpec의 필드)을 사용하는 검증 허용 웹훅이 구현된 시나리오에서 공격자는 클러스터를 손상시킬 수 있는 노드의 속성을 업데이트할 수 있습니다. GKE 및 Kubernetes 기본 제공 허용 컨트롤러에서 시행하는 어떠한 정책도 영향을 받지 않지만 고객이 설치한 추가 허용 웹훅을 확인하는 것이 좋습니다.

안내 및 자세한 내용은 다음 보안 게시판을 참조하세요.

중간

CVE-2021-25735

GCP-2021-002

게시: 2021년 3월 5일

설명

설명 심각도 참고

VMware 보안 권고 VMSA-2021-0002에 따라 VMware는 VMware ESXi 및 vSphere Client(HTML5)의 여러 취약점에 대한 보고를 받았습니다. VMware는 영향을 받은 VMware 제품의 이러한 취약점을 해결하기 위한 업데이트를 만들었습니다.

VMware 보안 권고에 따라 vSphere 스택에 대한 공식적으로 작성된 해결 방법을 적용했습니다. 이 업데이트는 CVE-2021-21972, CVE-2021-21973, CVE-2021-21974에 설명된 보안 취약점을 해결합니다.

VMware Engine의 영향

조사에 따르면 영향을 받는 고객은 없는 것으로 확인되었습니다.

어떻게 해야 하나요?

VMware Engine 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

매우 심각

GCP-2021-001

게시: 2021년 1월 28일

설명

설명 심각도 참고

CVE-2021-3156의 설명대로 최근 Linux 유틸리티 sudo에서 취약점이 발견되었습니다. 이 취약점은 sudo가 설치된 시스템에서 권한 없는 로컬 셸 액세스 권한을 가진 공격자를 허용하여 공격자의 권한을 시스템의 루트로 에스컬레이션할 수 있습니다.

Compute Engine이 실행되는 기본 인프라는 이 취약점의 영향을 받지 않습니다.

모든 Google Kubernetes Engine(GKE), VMware용 GKE, AWS용 GKE, 베어메탈용 Google Distributed Cloud Virtual 클러스터는 이 취약점의 영향을 받지 않습니다.

안내 및 자세한 내용은 다음 보안 게시판을 참조하세요.

없음 CVE-2021-3156

GCP-2020-015

게시: 2020년 12월 7일
업데이트: 2020년 12월 22일

설명

설명 심각도 참고

업데이트: 2021년 12월 22일 다음 섹션의 GKE 명령어는 gcloud 명령어 대신 gcloud beta를 사용해야 합니다.

gcloud container clusters update –no-enable-service-externalips

업데이트: 2021-12-15 GKE에서 다음 완화 방법이 제공됩니다.
  1. GKE 버전 1.21부터 기본적으로 새 클러스터에 사용 설정되는 DenyServiceExternalIPs 허용 컨트롤러에서 ExternalIP가 포함된 서비스를 차단합니다.
  2. GKE 버전 1.21로 업그레이드하는 고객은 다음 명령어를 사용하여 ExternalIP가 있는 서비스를 차단할 수 있습니다.
    gcloud container clusters update –no-enable-service-externalips
    

자세한 내용은 클러스터 보안 강화를 참조하세요.


Kubernetes 프로젝트에서 최근에 발견한 새로운 보안 취약점인 CVE-2020-8554은 LoadBalancer 또는 ClusterIP 유형의 Kubernetes 서비스를 생성할 권한을 얻은 공격자가 클러스터의 다른 pod에서 발생하는 네트워크 트래픽을 가로챌 수 있습니다. 이 취약점 자체로 인해 공격자가 Kubernetes 서비스를 만들 수 있는 권한이 부여되지는 않습니다.

모든 Google Kubernetes Engine(GKE), VMware용 GKE, AWS용 GKE 클러스터가 이 취약점의 영향을 받습니다.

어떻게 해야 하나요?

자세한 내용 및 안내는 다음을 참조하세요.

중간

CVE-2020-8554

GCP-2020-014

게시: 2020년 10월 20일
업데이트: 2020년 10월 20일

설명

설명 심각도 참고

최근 Kubernetes 프로젝트에서는 상세 로깅 옵션이 사용 설정된 경우 보안 비밀 데이터를 노출할 가능성이 있는 여러 문제가 발견되었습니다. 문제는 다음과 같습니다.

  • CVE-2020-8563: vSphere Provider kube-controller-manager의 로그 보안 비밀 유출.
  • CVE-2020-8564: 파일 형식이 잘못되었으며 loglevel 값이 4 이상인 경우 Docker 구성 보안 비밀이 유출됨.
  • CVE-2020-8565: Kubernetes의 CVE-2019-11250에 대한 불완전한 수정으로 logLevel 값이 9 이상인 경우 토큰이 유출될 수 있음. GKE 보안으로 발견됨.
  • CVE-2020-8566: loglevel이 4 이상인 경우 로그의 Ceph RBD adminSecrets 노출.

어떻게 해야 하나요?

GKE의 기본 세부정보 수준 로깅 레벨로 인해 추가 작업이 필요하지 않습니다.

없음

Google Cloud에 미치는 영향

제품별 세부정보는 아래에 나와 있습니다.

제품

영향

Google Kubernetes Engine(GKE)

Google Kubernetes Engine(GKE)은 영향을 받지 않습니다.

GKE On-Prem

GKE On-Prem은 영향을 받지 않습니다.

GKE on AWS

AWS용 GKE는 영향을 받지 않습니다.

GCP-2020-013

게시: 2020년 9월 29일

설명

Microsoft에서 다음과 같은 취약점을 발견했습니다.

취약점

심각도

CVE

CVE-2020-1472 - Windows Server의 취약점으로 인해 공격자가 Netlogon 원격 프로토콜을 사용하여 네트워크 기기에서 특별히 제작된 애플리케이션을 실행할 수 있습니다.

NVD 기본 점수: 10(중요)

CVE-2020-1472

자세한 내용은 Microsoft 공시를 확인하세요.

Google Cloud에 미치는 영향

Google Cloud 및 Google 제품을 호스팅하는 인프라는 이 취약점의 영향을 받지 않습니다. 그 밖의 제품별 세부정보는 아래에 나와 있습니다.

제품

영향

Compute Engine

CVE-2020-1472

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

Windows Server를 실행하는 Compute Engine 가상 머신을 사용하는 고객은 인스턴스를 최신 Windows 패치로 업데이트하거나 2020년 8월 17일 이후에 게시된 Windows Server 이미지(v20200813 이상)를 사용해야 합니다.

Google Kubernetes Engine

CVE-2020-1472

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

GKE Windows Server 노드에서 도메인 컨트롤러를 호스팅하는 모든 고객은 노드와 이러한 노드에서 실행되는 컨테이너화된 워크로드가 모두 최신 Windows 노드 이미지가 출시되면 반드시 이를 보유해야 합니다. 새로운 노드 이미지 버전은 10월 GKE 출시 노트에 공지됩니다.

Microsoft Active Directory용 관리형 서비스

CVE-2020-1472

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

NetLogon 프로토콜에 대한 수정사항이 포함된 Microsoft에서 출시한 8월 패치는 모든 관리형 Microsoft AD 도메인 컨트롤러에 적용되었습니다. 이 패치는 잠재적인 악용으로부터 보호하는 기능을 제공합니다. 시기적절한 패치 적용 애플리케이션은 Microsoft Active Directory용 관리형 서비스를 사용할 때의 주요 이점 중 하나입니다. Microsoft Active Directory를 수동으로 실행하며 Google Cloud의 관리형 서비스를 사용하지 않는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있거나 Windows Server 이미지를 사용해야 합니다.

Google Workspace

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 표준 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 가변형 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Run

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Run 함수

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Composer

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataflow

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataproc

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud SQL

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

GCP-2020-012

게시: 2020년 9월 14일
업데이트: 2020년 9월 17일

설명

설명 심각도 참고

CVE-2020-14386에 설명된 바와 같이 최근 Linux 커널에서 취약점이 발견되었으며, 이 취약점은 컨테이너 이스케이프가 호스트 노드의 루트 권한을 확보할 수 있다는 문제를 안고 있습니다.

모든 GKE 노드가 영향을 받습니다. GKE Sandbox에서 실행되는 포드는 이 취약점을 활용할 수 없습니다.

자세한 내용 및 안내는 다음을 참조하세요.


이 패치로 어떤 취약점이 해결되나요?

이 패치로 다음의 취약점이 완화됩니다.

취약점 CVE-2020-14386은 CAP_NET_RAW
가 있는 컨테이너가 커널 메모리 1~10바이트를 쓸 수 있도록 허용하며 컨테이너를 이스케이프하고 호스트 노드에서 루트 권한을 얻을 수도 있습니다. 이 문제는 '높음' 등급의 취약점으로 분류됩니다.

높음

CVE-2020-14386

GCP-2020-011

게시: 2020년 7월 24일

설명

설명 심각도 참고

네트워킹 취약점인 CVE-2020-8558이 최근 Kubernetes에서 발견되었습니다. 경우에 따라 서비스는 로컬 루프백 인터페이스(127.0.0.1)를 사용하여 동일한 포드에서 실행되는 다른 애플리케이션과 통신합니다. 이 취약점으로 인해 클러스터의 네트워크에 대한 액세스 권한이 있는 공격자가 인접 포드 및 노드의 루프백 인터페이스로 트래픽을 전송할 수 있습니다. pod 외부에서 액세스할 수 없는 루프백 인터페이스를 사용하는 서비스는 악용될 수 있습니다.

자세한 내용 및 안내는 다음을 참조하세요.

낮음(GKE 및 AWS용 GKE),
중간(VMware용 GKE)

CVE-2020-8558

GCP-2020-010

게시: 2020년 7월 27일

설명

Microsoft에서 다음과 같은 취약점을 발견했습니다.

취약점

심각도

CVE

CVE-2020-1350 — 로컬 시스템 계정으로 신뢰할 수 없는 코드를 실행하기 위해 DNS 서버 용량으로 제공되는 Windows Server이 악용될 수 있습니다.

NVD 기본 점수: 10.0(중요)

CVE-2020-1350

자세한 내용은 Microsoft 공시를 확인하세요.

Google Cloud에 미치는 영향

Google Cloud 및 Google 제품을 호스팅하는 인프라는 이 취약점의 영향을 받지 않습니다. 그 밖의 제품별 세부정보는 아래에 나와 있습니다.

제품

영향

Compute Engine

CVE-2020-1350

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

DNS 서버 용량에서 Windows Server를 실행하는 Compute Engine 가상 머신을 사용하는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있거나 2020년 7월 14일 이후 제공된 Windows Server 이미지를 사용해야 합니다.

Google Kubernetes Engine

CVE-2020-1350

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

DNS 서버 용량에서 Windows Server 노드로 GKE를 사용하는 고객은 노드와 해당 노드에서 실행되는 컨테이너화된 워크로드를 수정이 포함된 Windows Server 버전으로 수동으로 업데이트해야 합니다.

Microsoft Active Directory용 관리형 서비스

CVE-2020-1350

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

모든 관리 대상 Microsoft AD 도메인은 패치된 이미지로 자동 업데이트되었습니다. Microsoft Active Directory를 수동으로 실행하고 Managed Microsoft AD를 사용하지 않는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있거나 2020년 7월 14일 이후 제공된 Windows Server 이미지를 사용해야 합니다.

Google Workspace

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 표준 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 가변형 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Run

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Run 함수

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Composer

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataflow

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataproc

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud SQL

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

GCP-2020-009

게시: 2020년 7월 15일

설명

설명 심각도 참고

권한 에스컬레이션 취약점인 CVE-2020-8559가 최근 Kubernetes에서 발견되었습니다. 이 취약점으로 인해 노드를 이미 손상시킨 공격자가 클러스터의 모든 포드에서 명령어를 실행할 수 있습니다. 따라서 공격자는 이미 손상된 노드를 사용하여 다른 노드를 손상시킬 수 있으며 정보를 읽거나 파괴적인 작업을 유발할 수 있습니다.

공격자가 이 취약점을 악용하려는 경우 클러스터의 노드는 이미 손상되었을 것입니다. 이 취약점 자체는 클러스터에 있는 노드를 손상시키지 않습니다.

자세한 내용 및 안내는 다음을 참조하세요.

중간

CVE-2020-8559

GCP-2020-008

게시: 2020년 6월 19일

설명

설명 심각도 참고

설명

OS 로그인이 사용 설정된 VM은 권한 에스컬레이션 취약점에 취약할 수 있습니다. 이러한 취약성으로 인해 OS 로그인 권한이 부여된 사용자(관리자 액세스 권한은 부여되지 않음)는 VM의 루트 액세스로 에스컬레이션할 수 있습니다.

자세한 내용과 안내는 Compute Engine 보안 게시판을 참조하세요.

높음

GCP-2020-007

게시: 2020년 6월 1일

설명

설명 심각도 참고

서버 측 요청 위조(SSRF) 취약점인 CVE-2020-8555가 최근 Kubernetes에서 감지되었습니다. 이 취약점은 승인된 특정 사용자가 컨트롤 플레인 호스트 네트워크의 민감한 정보를 500바이트까지 유출할 수 있도록 합니다. Google Kubernetes Engine(GKE) 컨트롤 플레인은 Kubernetes의 컨트롤러를 사용하므로 이 취약점의 영향을 받습니다. 컨트롤 플레인을 최신 패치 버전으로 업그레이드하는 것이 좋습니다. 노드 업그레이드는 필요하지 않습니다.

자세한 내용 및 안내는 다음을 참조하세요.

중간

CVE-2020-8555

GCP-2020-006

게시: 2020년 6월 1일

설명

설명 심각도 참고

Kubernetes에서는 권한이 있는 컨테이너가 노드 트래픽을 다른 컨테이너로 리디렉션하도록 허용하는 취약점을 공개했습니다. 이 공격을 받으면 상호 TLS/SSH 트래픽(예: Kubelet과 API 서버 사이 또는 mTLS를 사용하는 애플리케이션의 트래픽)을 읽거나 수정할 수 없습니다. 모든 Google Kubernetes Engine(GKE) 노드가 이 취약점의 영향을 받습니다. 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

자세한 내용 및 안내는 다음을 참조하세요.

중간

Kubernetes 문제 91507

GCP-2020-005

게시: 2020년 5월 7일

설명

취약점

심각도

CVE

CVE-2020-8835에 설명된 바와 같이 최근 Linux 커널에서 취약점이 발견되었으며, 이 취약점은 컨테이너 이스케이프가 호스트 노드의 루트 권한을 확보할 수 있다는 문제를 안고 있습니다.

GKE 1.16 또는 1.17을 실행하는 Google Kubernetes Engine(GKE) Ubuntu 노드는 이 취약점의 영향을 받으며 가능한 한 빨리 최신 패치 버전으로 업그레이드하는 것이 좋습니다.

자세한 내용은 GKE 보안 게시판을 참조하세요.

높음

CVE-2020-8835

GCP-2020-004

게시: 2020년 3월 31일
업데이트: 2020년 3월 31일

설명

Kubernetes에서 다음 취약점이 공개되었습니다.

취약점

심각도

CVE

CVE-2019-11254 — 이 서비스 거부(DoS) 취약점은 API 서버에 영향을 미칩니다.

중간

CVE-2019-11254

자세한 내용은 VMware용 GKE 보안 게시판을 참조하세요.

GCP-2020-003

게시: 2020년 3월 31일
업데이트: 2020년 3월 31일

설명

Kubernetes에서 다음 취약점이 공개되었습니다.

취약점

심각도

CVE

CVE-2019-11254 — 이 서비스 거부(DoS) 취약점은 API 서버에 영향을 미칩니다.

중간

CVE-2019-11254

자세한 내용은 GKE 보안 게시판을 참조하세요.

GCP-2020-002

게시: 2020년 3월 23일
업데이트: 2020년 3월 23일

설명

Kubernetes에서 다음 취약점이 공개되었습니다.

취약점

심각도

CVE

CVE-2020-8551 — 이 서비스 거부(DoS) 취약점은 kubelet에 영향을 미칩니다.

중간

CVE-2020-8551

CVE-2020-8552 — 이 서비스 거부(DoS) 취약점은 API 서버에 영향을 미칩니다.

중간

CVE-2020-8552

자세한 내용은 GKE 보안 게시판을 참조하세요.

GCP-2020-001

게시: 2020년 1월 21일
업데이트: 2020년 1일 21일

설명

Microsoft에서 다음과 같은 취약점을 발견했습니다.

취약점

심각도

CVE

CVE-2020-0601 - 이 취약점은 Windows Crypto API 스푸핑 취약점이라고도 하며, 악성 실행 파일을 신뢰할 수 있는 파일인 것처럼 보이게 하거나 공격자가 중간에 데이터를 가로채는 공격을 수행하고 사용자 연결의 기밀 정보를 영향을 받는 소프트웨어에 복호화하는 데 악용될 수 있습니다.

NVD 기본 점수: 8.1(높음)

CVE-2020-0601

자세한 내용은 Microsoft 공시를 확인하세요.

Google Cloud에 미치는 영향

Google Cloud 및 Google 제품을 호스팅하는 인프라는 이 취약점의 영향을 받지 않습니다. 그 밖의 제품별 세부정보는 아래에 나와 있습니다.

제품

영향

Compute Engine

CVE-2020-0601

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

Windows Server를 실행하는 Compute Engine 가상 머신을 사용하는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있거나 2020년 1월 15일 이후에 제공된 Windows Server 이미지를 사용해야 합니다. 자세한 내용은 Compute Engine 보안 게시판을 참조하세요.

Google Kubernetes Engine

CVE-2020-0601

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

Windows Server 노드와 함께 GKE를 사용하고 있는 고객의 경우 노드와 노드에서 실행되는 컨테이너화된 워크로드를 모두 패치 버전으로 업데이트해야 이 취약점을 해결할 수 있습니다. 자세한 내용 및 안내는 GKE 보안 게시판을 참조하세요.

Microsoft Active Directory용 관리형 서비스

CVE-2020-0601

대부분 고객의 경우 추가 조치는 필요하지 않습니다.

모든 관리 대상 Microsoft AD 도메인은 패치된 이미지로 자동 업데이트되었습니다. Microsoft Active Directory를 수동으로 실행하고 Managed Microsoft AD를 사용하지 않는 고객은 인스턴스에 최신 Windows 패치가 설치되어 있거나 2020년 1월 15일 이후 제공된 Windows Server 이미지를 사용해야 합니다.

Google Workspace

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 표준 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

App Engine 가변형 환경

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Run

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Run 함수

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud Composer

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataflow

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Dataproc

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

Cloud SQL

고객이 별도의 조치를 취하지 않아도 됩니다.

이 서비스는 이 취약점의 영향을 받지 않습니다.

GCP-2019-001

게시: 2019년 11알 12일
업데이트: 2019년 11일 12일

설명

Intel에서 다음과 같은 취약점을 발견했습니다.

취약점

심각도

CVE

CVE-2019-11135 — TSX 비동기 중단(TAA)이라고 부르는 이 취약점은 TSX 트랜잭션의 예측 실행 악용에 이용될 수 있습니다. 이 취약점에는 마이크로아키텍처 데이터 샘플링(MDS)으로 노출되는 동일 마이크로아키텍처 데이터 구조를 통해 데이터가 노출될 가능성이 있습니다.

중간

CVE-2019-11135

CVE-2018-12207 — (게스트가 아닌) 가상 머신 호스트에 영향을 미치는 서비스 거부(DoS) 취약점입니다. 이 문제를 '페이지 크기 변경에 대한 머신 확인 오류'라고 부릅니다.

중간

CVE-2018-12207

자세한 내용은 Intel 공개 자료를 확인하세요.

Google Cloud에 미치는 영향

Google Cloud 및 Google 제품을 호스팅하는 인프라는 이러한 취약점으로부터 보호됩니다. 그 밖의 제품별 세부정보는 아래에 나와 있습니다.

제품

영향

Compute Engine

CVE-2019-11135

대부분의 고객이 별도의 조치를 취하지 않아도 됩니다.

Compute Engine 가상 머신 내 자체 멀티 테넌트 서비스에서 신뢰할 수 없는 코드를 실행하는 N2, C2 또는 M2 고객은 최신 보안 완화 조치가 적용되도록 VM을 중지했다가 시작해야 합니다.

CVE-2018-12207

모든 고객이 별도의 조치를 취하지 않아도 됩니다.

Google Kubernetes Engine

CVE-2019-11135

대부분의 고객이 별도의 조치를 취하지 않아도 됩니다.

N2, M2 또는 C2 노드를 포함한 노드 풀을 사용하는데 이러한 노드가 자체 멀티 테넌트 GKE 클러스터 내에서 신뢰할 수 없는 코드를 실행한다면 노드를 다시 시작해야 합니다. 노드 풀에서 모든 노드를 다시 시작하려면 영향을 받는 노드 풀을 업그레이드하면 됩니다.

CVE-2018-12207

모든 고객이 별도의 조치를 취하지 않아도 됩니다.

App Engine 표준 환경

별도의 조치를 취하지 않아도 됩니다.

App Engine 가변형 환경

CVE-2019-11135

별도의 조치를 취하지 않아도 됩니다.

고객은 Flex VM 내의 하이퍼 스레드 간에 발생할 수 있는 애플리케이션 수준 공유와 관련된 Intel 권장사항을 검토해야 합니다.

CVE-2018-12207

별도의 조치를 취하지 않아도 됩니다.

Cloud Run

별도의 조치를 취하지 않아도 됩니다.

Cloud Run 함수

별도의 조치를 취하지 않아도 됩니다.

Cloud Composer

별도의 조치를 취하지 않아도 됩니다.

Dataflow

CVE-2019-11135

대부분의 고객이 별도의 조치를 취하지 않아도 됩니다.

Dataflow에서 관리하는 N2, C2 또는 M2 Compute Engine VM에서 신뢰할 수 없는 여러 워크로드를 실행하며 내부-게스트 공격이 우려되는 Dataflow 고객은 현재 실행 중인 스트리밍 파이프라인을 다시 시작해야 합니다. 또는 일괄 파이프라인을 취소하고 다시 실행할 수도 있습니다. 오늘 이후 실행되는 파이프라인의 경우 별도의 조치를 취하지 않아도 됩니다.

CVE-2018-12207

모든 고객이 별도의 조치를 취하지 않아도 됩니다.

Dataproc

CVE-2019-11135

대부분의 고객이 별도의 조치를 취하지 않아도 됩니다.

Compute Engine N2, C2 또는 M2 VM에서 실행되는 동일 Cloud Dataproc 클러스터에서 신뢰할 수 없는 여러 워크로드를 실행하며 내부-게스트 공격이 우려되는 Cloud Dataproc 고객은 클러스터를 다시 배포해야 합니다.

CVE-2018-12207

모든 고객이 별도의 조치를 취하지 않아도 됩니다.

Cloud SQL

별도의 조치를 취하지 않아도 됩니다.