Les bulletins de sécurité suivants concernent les produits Google Cloud.
Utilisez ce flux XML pour vous abonner aux bulletins de sécurité de la présente page.
GCP-2024-041
Date de publication : 08/07/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée |
GCP-2024-040
Date de publication:01/07/2024
Mise à jour:10-07-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 10/07/2024:
Mises à jour du 09/07/2024: Certains clients de l'environnement flexible App Engine sont potentiellement affectés par une faille dans OpenSSH (CVE-2024-6387). En cas d'exploitation réussie, cela pourrait permettre à un pirate informatique distant non authentifié d'exécuter un code arbitraire en tant que racine sur la machine virtuelle cible. Que dois-je faire ? Google a déjà mis à jour automatiquement les déploiements dans les environnements flexibles lorsque cela était possible. Toutefois, certains clients qui ont désactivé l'agent de service géré par Google, ou qui ont modifié les API Google Cloud ou d'autres configurations par défaut, n'ont pas pu être mis à jour et peuvent rester vulnérables. Vous devez déployer une nouvelle version de votre application pour récupérer la mise à jour avec le correctif. Veuillez noter que les déploiements mis à jour indiqueront la version Quelles failles sont corrigées ? La faille CVE-2024-6387, qui permet à un pirate informatique distant non authentifié d'exécuter du code arbitraire en tant que racine sur la machine cible. Mises à jour du 08/07/2024: Les clusters Dataproc sur Google Compute Engine exécutés sur les versions d'image 2.2 (tous les systèmes d'exploitation) et 2.1 (Debian uniquement) sont affectés par une faille dans OpenSSH (CVE-2024-6387). En cas d'exploitation réussie, elle peut permettre à un pirate informatique distant non authentifié d'exécuter du code arbitraire en tant que racine sur la machine cible. Les versions d'image 2.0 et 1.5 de Dataproc sur Google Compute Engine, ainsi que les images Dataproc version 2.1 qui ne s'exécutent pas sur Debian, ne sont pas affectées. Les clusters Dataproc sur lesquels l'authentification personnelle est activée ne sont pas affectés. Dataproc sans serveur n'est pas non plus affecté. Que dois-je faire ? Veuillez mettre à jour vos clusters Dataproc sur Google Compute Engine vers l'une des versions suivantes:
Si vous ne parvenez pas à mettre à jour vos clusters Dataproc vers l'une des versions ci-dessus, nous vous recommandons d'utiliser l'action d'initialisation disponible à l'emplacement suivant : Veuillez suivre les instructions ci-dessous pour savoir comment spécifier des actions d'initialisation pour Dataproc. Veuillez noter que l'action d'initialisation doit être exécutée sur chaque nœud (maîtres et nœuds de calcul) des clusters préexistants. Mises à jour du 03/07/2024:
Mises à jour du 02/07/2024:
Une faille d'exécution de code à distance, CVE-2024-6387, a été récemment découverte dans OpenSSH. La faille exploite une condition de concurrence permettant d'accéder à un shell distant, ce qui permet aux pirates informatiques d'obtenir un accès root. Au moment de la publication, cette exploitation est considérée comme difficile et prend plusieurs heures pour chaque machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants :
|
Critique | CVE-2024-6387 |
GCP-2024-039
Date de publication : 28/06/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-26923 |
GCP-2024-038
Date de publication : 26/06/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-26924 |
GCP-2024-037
Date de publication : 18/06/2024
Description | Gravité | Remarques |
---|---|---|
VMware a divulgué plusieurs failles dans VMSA-2024-0012 qui ont un impact sur les composants vCenter déployés dans les environnements clients. Impact sur Google Cloud VMware Engine
Que dois-je faire ?Aucune autre action n'est requise pour le moment. |
Critique |
GCP-2024-036
Date de publication : 18/06/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-26584 |
GCP-2024-035
Date de publication : 12/06/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-26584 |
GCP-2024-034
Date de publication : 11/06/2024
Mise à jour:10-07-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 10/07/2024:ajout de versions de correctif pour les nœuds Container-Optimized OS exécutant les versions mineures 1.26 et 1.27, et ajout de versions de correctif pour les nœuds Ubuntu. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-26583 |
GCP-2024-033
Date de publication : 10/06/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2022-23222 |
GCP-2024-032
Date de publication:04/06/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. |
Élevée |
GCP-2024-031
Date de publication:24-05-2024
Description
Description | Gravité | Remarques |
---|---|---|
Une nouvelle faille (CVE-2024-4323) a été détectée dans Fluent Bit. Elle pourrait entraîner l'exécution de code à distance. Les versions 2.0.7 à 3.0.3 de Fluent Bit sont concernées. GKE, GKE sur VMware, GKE sur AWS, GKE sur Azure et GKE sur Bare Metal n'utilisent pas une version vulnérable de Fluent Bit et ne sont pas affectés. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Aucune | CVE-2024-4323 |
GCP-2024-030
Date de publication : 15/05/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-52620 |
GCP-2024-029
Date de publication : 14/05/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-26642 |
GCP-2024-028
Date de publication : 13/05/2024
Mise à jour:22-05-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 22/05/2024:ajout de versions de correctif pour Ubuntu Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-26581 |
GCP-2024-027
Date de publication : 08/05/2024
Mise à jour:09-05-2024, 15-05-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 15/05/2024:ajout de versions de correctif pour les pools de nœuds GKE Ubuntu. Mise à jour du 09/05/2024:correction de la gravité de "Moyenne" à "Élevée" et clarification du fait que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-26808 |
GCP-2024-026
Date de publication : 07/05/2024
Mise à jour:09-05-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 09/05/2024:correction de la gravité de "Moyenne" à "Élevée". Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-26643 |
GCP-2024-025
Date de publication:26/04/2024
Description
Description | Gravité | Remarques |
---|---|---|
Looker a corrigé les vulnérabilités signalées par un chercheur externe via le programme VRP (Vulnerability Reward Program (VRP) de Google et Alphabet), mais n'a trouvé aucune preuve d'exploitation. Ces problèmes sont maintenant résolus, et aucune action n'est requise pour les clients hébergés sur Looker sur Looker (Google Cloud Core) et Looker (version initiale). Il est recommandé d'installer la dernière version compatible pour les instances Looker auto-hébergées. Que dois-je faire ? Instances hébergées par Looker: instances Looker (Google Cloud Core) et Looker (version initiale) Aucune action n'est requise de la part du client. Instances Looker auto-hébergées uniquement Si votre instance Looker est auto-hébergée, nous vous recommandons de la mettre à niveau vers l'une des versions suivantes:
Comment ce problème a-t-il été résolu ? Google a désactivé l'accès administrateur direct à la base de données interne à partir de l'application Looker, supprimé les privilèges élevés permettant l'accès entre locataires et effectué une rotation des secrets exposés. Nous avons également corrigé des failles de traversée de répertoire qui risquaient d'exposer les identifiants des comptes de service. Nous procédons également à un examen approfondi de notre code et de nos systèmes afin d'identifier et de corriger toute faille potentielle similaire. |
Critique |
GCP-2024-024
Date de publication : 25/04/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-26585 |
GCP-2024-023
Date de publication:24/04/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. |
Élevée |
GCP-2024-022
Date de publication:03/04/2024
Mise à jour:09-07-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 09/07/2024:ajout de versions de correctif pour GKE sur Bare Metal Mise à jour du 24/04/2024:ajout de versions de correctif pour GKE. Une faille de déni de service (DoS) (CVE-2023-45288) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2, y compris sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE). Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-45288 |
GCP-2024-021
Date de publication : 03/04/2024
Description
Description | Gravité | Remarques |
---|---|---|
Compute Engine n'est pas affecté par la faille CVE-2024-3094, qui affecte les versions 5.6.0 et 5.6.1 du package xz-utils dans la bibliothèque liblzma, ce qui peut compromettre l'utilitaire OpenSSH. Pour en savoir plus, consultez le bulletin de sécurité Compute Engine. |
Moyenne | CVE-2024-3094 |
GCP-2024-020
Date de publication : 02/04/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les chercheurs ont découvert une faille (CVE-2023-48022) dans Ray. Ray est un outil Open Source tiers pour les charges de travail d'IA. Comme Ray ne nécessite pas d'authentification, les attaquants peuvent exécuter du code à distance en soumettant des tâches à des instances exposées publiquement. La faille a été contestée par Anyscale, le développeur de Ray. Ray maintient que ses fonctions constituent une fonctionnalité essentielle du produit et que la sécurité doit être mise en œuvre en dehors d'un cluster Ray, car toute exposition involontaire du réseau pourrait entraîner une compromission. D'après la réponse, cette faille CVE est contestée et peut ne pas apparaître dans les outils d'analyse des failles. Quoi qu'il en soit, il est activement exploité dans la nature et les utilisateurs doivent configurer leur utilisation comme suggéré ci-dessous. Que dois-je faire ? Suivez les bonnes pratiques et les consignes de Ray, y compris l'exécution de code de confiance sur des réseaux de confiance, afin de sécuriser vos charges de travail Ray. Le déploiement de ray.io dans les instances cloud de clients relève du modèle de responsabilité partagée. La sécurité de Google Kubernetes Engine (GKE) a publié un blog sur le renforcement de Ray sur GKE. Pour en savoir plus sur les façons d'ajouter une authentification et une autorisation aux services Ray, consultez la documentation Identity-Aware Proxy (IAP). Les utilisateurs de GKE peuvent implémenter IAP en suivant ces conseils ou en réutilisant les modules Terraform associés sur le blog. |
Élevée | CVE-2023-48022 |
GCP-2024-018
Date de publication : 12/03/2024
Mise à jour:04-04-2024, 06-05-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 06/05/2024:ajout de versions de correctif pour les pools de nœuds GKE Ubuntu. Mise à jour du 04/04/2024:correction des versions minimales pour les pools de nœuds GKE Container-Optimized OS. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-1085 |
GCP-2024-017
Date de publication : 06/03/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-3611 |
GCP-2024-016
Date de publication : 05/03/2024
Description | Gravité | Remarques |
---|---|---|
VMware a divulgué plusieurs failles dans VMSA-2024-0006 qui ont un impact sur les composants ESXi déployés dans les environnements clients. Impact sur Google Cloud VMware EngineVos clouds privés ont été mis à jour pour corriger cette faille de sécurité. Que dois-je faire ?Aucune action n'est requise de votre part. |
Critique |
GCP-2024-014
Date de publication : 26/02/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-3776 |
GCP-2024-013
Date de publication : 27/02/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-3610 |
GCP-2024-012
Date de publication : 20/02/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-0193 |
GCP-2024-011
Date de publication : 15/02/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu:
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-6932 |
GCP-2024-010
Date de publication : 14/02/2024
Mise à jour:17-04-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 17/04/2024:ajout de versions de correctif pour GKE sur VMware. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-6931 |
GCP-2024-009
Date de publication:13/02/2024
Description
Description | Gravité | Remarques |
---|---|---|
Le 13 février 2024, AMD a divulgué deux failles affectant SEV-SNP sur les processeurs EPYC basées sur les cœurs "Milan" de troisième génération et "Genoa" zen de quatrième génération. Ces failles permettent à des pirates informatiques privilégiés d'accéder aux données obsolètes des invités ou de perdre l'intégrité des invités. Google a appliqué des correctifs aux éléments concernés, y compris Google Cloud, pour assurer la protection des clients. À l'heure actuelle, aucune preuve d'exploitation n'a été trouvée ni signalée à Google. Que dois-je faire ? Aucune action n'est requise de la part du client. Des corrections ont déjà été appliquées au parc de serveurs Google pour Google Cloud, y compris Compute Engine. Pour en savoir plus, consultez l'avis de sécurité d'AMD AMD-SN-3007. |
Moyen |
GCP-2024-008
Date de publication:12/02/2024
Description
Description | Gravité | Remarques |
---|---|---|
La faille CVE-2023-5528 permet à un pirate informatique de créer des pods et des volumes persistants sur des nœuds Windows de manière à permettre l'élévation des privilèges d'administrateur sur ces nœuds. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-5528 |
GCP-2024-007
Date de publication:08/02/2024
Description
Description | Gravité | Remarques |
---|---|---|
Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. |
Élevée |
GCP-2024-006
Date de publication:5/02/2024
Description
Description | Gravité | Remarques |
---|---|---|
Lorsqu'un proxy de gestion d'API Apigee se connecte à un point de terminaison cible ou à un serveur cible, le proxy n'effectue pas de validation du nom d'hôte pour le certificat présenté par défaut par le point de terminaison ou le serveur cible. Si la validation du nom d'hôte n'est pas activée à l'aide de l'une des options suivantes, les proxys Apigee se connectant à un point de terminaison cible ou à un serveur cible peuvent courir le risque d'une attaque MITM ("man in the middle") par un utilisateur autorisé. Pour en savoir plus, consultez la page Configurer TLS de la périphérie au backend (cloud et cloud privé). Les déploiements de proxy Apigee sur les plates-formes Apigee suivantes sont concernés :
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Apigee. |
Élevée |
GCP-2024-005
Date de publication:31-01-2024
Dernière mise à jour:02-04-2024, 06-05-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 06/05/2024: ajout de versions de correctif pour GKE sur AWS et GKE sur Azure. Mise à jour du 02/04/2024: ajout de versions de correctif pour GKE sur Bare Metal Mise à jour du 06/03/2024: ajout de versions de correctif pour GKE sur VMware Mise à jour du 28/02/2024: ajout de versions de correctif pour Ubuntu Mise à jour du 15/02/2024: ajout d'une précision indiquant que les versions du correctif Ubuntu 1.25 et 1.26 de la mise à jour du 14/02/2024 peuvent entraîner des nœuds non opérationnels. Mise à jour du 14/02/2024: ajout de versions de correctif pour Ubuntu Mise à jour du 06/02/2024 : ajout de versions de correctif pour Container-Optimized OS. Une faille de sécurité, CVE-2024-21626, a été détectée dans Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2024-21626 |
GCP-2024-004
Date de publication: 24-01-2024
Dernière mise à jour:07-02-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 07/02/2024 : ajout de versions de correctif pour Ubuntu. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-6817 |
GCP-2024-003
Date de publication:19-01-2024
Dernière mise à jour:26-01-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 26/01/2024:clarification du nombre de clusters affectés et des mesures que nous avons prises pour atténuer l'impact Pour en savoir plus, consultez le bulletin de sécurité GCP-2024-003. Nous avons identifié plusieurs clusters sur lesquels des utilisateurs ont accordé des droits Kubernetes au groupe Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Moyenne |
GCP-2024-002
Date de publication : 17/01/2024
Mise à jour:20-02-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 20/02/2024:ajout de versions de correctif pour GKE sur VMware. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-6111 |
GCP-2024-001
Date de publication:09-01-2024Description
Description | Gravité | Remarques |
---|---|---|
Plusieurs failles ont été détectées dans le micrologiciel UEFI de TianoCore EDK II. Ce micrologiciel est utilisé dans les VM Google Compute Engine. En cas d'exploitation, les failles peuvent permettre un contournement du démarrage sécurisé, ce qui génère de fausses mesures au cours du processus de démarrage sécurisé, y compris lorsqu'il est utilisé sur des VM protégées. Que dois-je faire ?Aucune action n'est requise. Google a corrigé cette faille dans Compute Engine, et toutes les VM sont protégées contre cette faille. Quelles failles ce correctif permet-il de résoudre ?Ce correctif a permis de réduire les failles suivantes:
|
Moyenne |
GCP-2023-051
Date de publication : 28/12/2023
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-3609 |
GCP-2023-050
Date de publication : 27/12/2023
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-3389 |
GCP-2023-049
Date de publication : 20/12/2023
Description
Description | Gravité | Remarques |
---|---|---|
Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-3090 |
GCP-2023-048
Date de publication : 15/12/2023
Mise à jour:21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-3390 |
GCP-2023-047
Date de publication:14/12/2023
Description
Description | Gravité | Remarques |
---|---|---|
Un pirate informatique qui a compromis le conteneur de journalisation Fluent Bit peut combiner cet accès avec les droits élevés requis par Cloud Service Mesh (sur les clusters qui l'ont activé) pour élever les privilèges dans le cluster. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Moyenne |
GCP-2023-046
Date de publication: 22-11-2023
Dernière mise à jour:04-03-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 04/03/2024 : ajout de versions de GKE pour GKE sur VMware. Mise à jour du 22/01/2024:ajout de versions de correctif Ubuntu Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-5717 |
GCP-2023-045
Date de publication : 20/11/2023
Mise à jour:21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-5197 |
GCP-2023-044
Date de publication:15/11/2023
Description
Description | Gravité | Remarques |
---|---|---|
Le 14 novembre, AMD a divulgué plusieurs failles affectant divers processeurs de serveur AMD. Plus précisément, les failles concernent les processeurs serveur EPYC exploitant les cœurs de génération 2 "Rome", "Milan" et "Genoa" de génération 4. Google a appliqué des correctifs aux éléments concernés, y compris Google Cloud, pour assurer la protection des clients. À l'heure actuelle, aucune preuve d'exploitation n'a été trouvée ni signalée à Google. Que dois-je faire ? Aucune action n'est requise de la part du client. Des corrections ont déjà été appliquées au parc de serveurs Google pour Google Cloud, y compris Google Compute Engine. Quelles failles sont corrigées ? Ce correctif a permis de réduire les failles suivantes:
Pour en savoir plus, consultez l'avis de sécurité d'AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", également publié sous le nom CacheWarp, et l'article AMD-SN-3002: "AMD Server Vulnerabilities – Novembre 2023". |
Moyen |
GCP-2023-043
Date de publication:14/11/2023
Description
Description | Gravité | Remarques |
---|---|---|
Intel a divulgué une faille de processeur dans certains processeurs. Google a pris des mesures pour limiter la sécurité de son parc de serveurs, y compris Google Compute Engine pour Google Cloud et ses appareils ChromeOS, afin d'assurer la protection des clients. Détails de la faille:
Que dois-je faire ? Aucune action n'est requise de la part du client. Les mesures d'atténuation fournies par Intel pour les processeurs concernés ont été appliquées au parc de serveurs Google, y compris Google Compute Engine pour Google Cloud. Pour le moment, Google Distributed Cloud Edge nécessite une mise à jour de l'OEM. Google corrigera ce produit une fois la mise à jour disponible, et ce bulletin sera mis à jour en conséquence. Les appareils ChromeOS sur lesquels les processeurs concernés étaient affectés ont reçu automatiquement le correctif dans les versions 119, 118 et 114 (LTS). Quelles failles sont corrigées ? CVE-2023-23583. Pour en savoir plus, consultez l'avis de sécurité Intel INTEL-SA-00950. |
Élevée | CVE-2023-23583 |
GCP-2023-042
Date de publication: 13-11-2023
Dernière mise à jour:15-11-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 15/11/2023:clarifiez le fait que seules les versions mineures répertoriées doivent être mises à niveau vers une version corrigée pour GKE. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-4147 |
GCP-2023-041
Date de publication : 08/11/2023
Mise à jour:21-11-2023, 05-12-2023, 21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Mise à jour du 05/12/2023:ajout de versions GKE supplémentaires pour les pools de nœuds Container-Optimized OS. Mise à jour du 21/11/2023:clarifiez le fait que seules les versions mineures répertoriées doivent être mises à niveau vers une version corrigée pour GKE. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-4004 |
GCP-2023-040
Date de publication : 06/11/2023
Mise à jour:21-11-2023, 21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Mise à jour du 21/11/2023:clarifiez le fait que seules les versions mineures répertoriées doivent être mises à niveau vers une version corrigée pour GKE. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-4921 |
GCP-2023-039
Date de publication:06/11/2023
Dernière mise à jour : 21/11/2023, 16/11/2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/11/2023:clarifiez le fait que seules les versions mineures répertoriées doivent être mises à niveau vers une version corrigée pour GKE. Mise à jour du 16/11/2023:la faille associée à ce bulletin de sécurité est la faille CVE-2023-4622. La faille CVE-2023-4623 a été répertoriée à tort comme étant la faille dans une version précédente du bulletin de sécurité. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-4622 |
GCP-2023-038
Date de publication : 06/11/2023
Mise à jour:21-11-2023, 21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Mise à jour du 21/11/2023:clarifiez le fait que seules les versions mineures répertoriées doivent être mises à niveau vers une version corrigée pour GKE. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-4623 |
GCP-2023-037
Date de publication:06/11/2023
Mise à jour:21-11-2023, 21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Mise à jour du 21/11/2023:clarifiez le fait que seules les versions mineures répertoriées doivent être mises à niveau vers une version corrigée pour GKE. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-4015 |
GCP-2023-036
Publié : 30-10-2023
Description
Description | Gravité | Remarques |
---|---|---|
Deep Learning VM Image est un ensemble d'images de machines virtuelles pré-installées, dotées d'un framework de deep learning et prêtes à être exécutées immédiatement. Une faille liée à une écriture hors limite a été détectée récemment dans la fonction "ReadHuffmanCodes()" de la bibliothèque "libwebp". Les images qui utilisent cette bibliothèque peuvent être affectées. Google Cloud analyse en continu ses images publiées et met à jour les packages pour garantir que les distributions corrigées sont incluses dans les dernières versions disponibles pour l'adoption par les clients. Les images Deep Learning VM Image ont été mises à jour pour garantir que les dernières images de VM incluent les distributions corrigées. Les clients qui adoptent les images de VM les plus récentes ne sont pas exposés à cette faille. Que dois-je faire ? Les clients Google Cloud qui utilisent des images de VM publiées doivent s'assurer qu'ils adoptent les dernières images et que leurs environnements sont à jour conformément au modèle de responsabilité partagée. La faille CVE-2023-4863 peut être exploitée par un pirate informatique pour exécuter du code arbitraire. Cette faille a été identifiée dans Google Chrome avant la version 116.0.5845.187 et dans la bibliothèque "libwebp" antérieure à la version 1.3.2. Elle est référencée sous CVE-2023-4863. |
Élevée | CVE-2023-4863 |
GCP-2023-035
Date de publication:26/10/2023
Mise à jour:21-11-2023, 21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Mise à jour du 21/11/2023:clarifiez le fait que seules les versions mineures répertoriées doivent être mises à niveau vers une version corrigée pour GKE. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128 |
GCP-2023-034
Date de publication:25/10/2023
Mise à jour:27-10-2023
Description
Description | Gravité | Remarques |
---|---|---|
VMware a divulgué plusieurs failles dans VMSA-2023-0023 qui ont un impact sur les composants vCenter déployés dans les environnements clients. Impact sur Cloud Customer Care
Que dois-je faire ?Aucune autre action n'est requise pour le moment |
Critique | CVE-2023-34048,CVE-2023-34056 |
GCP-2023-033
Date de publication:24/10/2023
Mise à jour:21-11-2023, 21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot dans la configuration par défaut ne sont pas affectés et que les charges de travail GKE Sandbox ne sont pas affectées. Mise à jour du 21/11/2023:clarifiez le fait que seules les versions mineures répertoriées doivent être mises à niveau vers une version corrigée pour GKE. Les failles suivantes ont été détectées dans le noyau Linux et peuvent entraîner une élévation des privilèges sur les nœuds Container-Optimized OS et Ubuntu.
Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-3777 |
GCP-2023-032
Publié : 2023-10-13
Mise à jour : 03-11-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 03/11/2023 : ajout du problème connu pour Apigee Edge pour le cloud privé. Une faille de déni de service (DoS) a été récemment découverte dans plusieurs mises en œuvre du protocole HTTP/2 (CVE-2023-44487), y compris le service Apigee Ingress (Cloud Service Mesh) utilisé par Apigee X et Apigee Hybrid. La faille pourrait entraîner un déni de service de la fonctionnalité de gestion d'API Apigee. Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Apigee. |
Élevée | CVE-2023-44487 |
GCP-2023-031
Date de publication:10/10/2023
Description
Description | Gravité | Remarques |
---|---|---|
Une attaque par déni de service peut affecter le plan de données lors de l'utilisation du protocole HTTP/2. Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. |
Élevée | CVE-2023-44487 |
GCP-2023-030
Date de publication:10/10/2023
Mise à jour:20-03-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 20/03/2024:ajout de versions de correctif pour GKE sur AWS et GKE sur Azure avec les derniers correctifs pour CVE-2023-44487. Mise à jour du 14/02/2024:ajout de versions de correctif pour GKE sur VMware. Mise à jour du 09/11/2023:ajout de la faille CVE-2023-39325. Versions de GKE mises à jour avec les derniers correctifs pour CVE-2023-44487 et CVE-2023-39325. Une vulnérabilité de déni de service (DoS) a été récemment découverte dans plusieurs implémentations du protocole HTTP/2 (CVE-2023-44487), notamment sur le serveur HTTP golang utilisé par Kubernetes. La faille peut entraîner un DoS au niveau du plan de contrôle de Google Kubernetes Engine (GKE). Les clusters GKE sur lesquels des réseaux autorisés sont configurés sont protégés en limitant l'accès réseau, mais tous les autres clusters sont affectés. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-44487, CVE-2023-39325 |
GCP-2023-029
Date de publication : 03/10/2023
Description
Description | Gravité | Remarques |
---|---|---|
TorchServe permet d'héberger des modèles de machine learning PyTorch pour la prédiction en ligne. Vertex AI fournit un modèle PyTorch prédéfini qui diffuse des conteneurs qui dépendent de TorchServe. Des failles ont été détectées récemment dans TorchServe. Elles permettent à un pirate informatique de prendre le contrôle d'un déploiement TorchServe si son API de gestion de modèle est exposée. Les clients avec des modèles PyTorch déployés sur la prédiction en ligne de Vertex AI ne sont pas affectés par ces failles, car Vertex AI n'expose pas l'API de gestion de modèles de TorchServe. Les clients qui utilisent TorchServe en dehors de Vertex AI doivent prendre des précautions pour s'assurer que leurs déploiements sont configurés de manière sécurisée. Que dois-je faire ? Les clients de Vertex AI qui ont déployé des modèles à l'aide des conteneurs de diffusion PyTorch prédéfinis de Vertex AI n'ont pas à intervenir pour résoudre les failles, car les déploiements de Vertex AI n'exposent pas le serveur de gestion de TorchServe à Internet. Les clients qui utilisent des conteneurs PyTorch prédéfinis dans d'autres contextes, ou qui utilisent une distribution personnalisée ou tierce de TorchServe, doivent effectuer les opérations suivantes:
Quelles failles sont corrigées ? L'API de gestion de TorchServe est liée par défaut à CVE-2023-43654 et CVE-2022-1471 permettent à un utilisateur ayant accès à l'API de gestion de charger des modèles à partir de sources arbitraires et d'exécuter du code à distance. Les atténuations pour ces deux problèmes sont incluses dans TorchServe 0.8.2: le chemin d'exécution du code à distance est supprimé, et un avertissement est émis si la valeur par défaut de |
Élevée | CVE-2023-43654, CVE-2022-1471 |
GCP-2023-028
Date de publication:19/09/2023
Dernière mise à jour : 29-05-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 29/05/2024: les nouveaux flux n'utilisent plus le compte de service partagé, mais celui-ci reste actif pour les flux existants afin d'éviter toute interruption de service. Les modifications apportées à la source dans les anciens flux sont bloquées pour éviter tout usage abusif du compte de service partagé. Les clients peuvent continuer à utiliser leurs anciens flux normalement, à condition de ne pas modifier la source.
Les clients peuvent configurer Google Security Operations pour ingérer les données de leurs buckets Cloud Storage à l'aide d'un flux d'ingestion. Jusqu'à récemment, Google Security Operations fournissait un compte de service partagé que les clients utilisaient pour accorder des autorisations au bucket. Grâce à cette opportunité, l'instance Google Security Operations d'un client peut être configurée pour ingérer les données du bucket Cloud Storage d'un autre client. À la suite d'une analyse d'impact, nous n'avons trouvé aucune exploitation actuelle ni antérieure de cette vulnérabilité. La faille était présente dans toutes les versions de Google Security Operations avant le 19 septembre 2023. Que dois-je faire ? Le 19 septembre 2023, Google Security Operations a été mis à jour pour corriger cette faille. Aucune action n'est requise de la part du client. Quelles failles sont corrigées ? Auparavant, Google Security Operations fournissait un compte de service partagé que les clients utilisaient pour accorder des autorisations à un bucket. Plusieurs clients ayant autorisé le même compte de service Google Security Operations à accéder à leur bucket, il existait un vecteur d'exploitation permettant au flux d'un client d'accéder au bucket d'un autre client lors de la création ou de la modification d'un flux. Ce vecteur d'exploitation nécessitait la connaissance de l'URI du bucket. Désormais, lors de la création ou de la modification d'un flux, Google Security Operations utilise des comptes de service uniques pour chaque client. |
Élevée |
GCP-2023-027
Date de publication:11/09/2023Description | Gravité | Remarques |
---|---|---|
Les mises à jour de VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896) Impact sur le service clientVMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation). Que dois-je faire ?Les clients ne sont pas concernés, et aucune mesure n'est requise. |
Moyenne |
GCP-2023-026
Date de publication:06/09/2023
Description
Description | Gravité | Remarques |
---|---|---|
Trois failles (CVE-2023-3676, CVE-2023-3955 et CVE-2023-3893) ont été découvertes dans Kubernetes. Un utilisateur pouvant créer des pods sur des nœuds Windows peut obtenir des droits d'administrateur sur ces nœuds. Ces failles affectent les versions Windows de Kubelet et du proxy CSI de Kubernetes. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-3676, CVE-2023-3955, CVE-2023-3893 |
GCP-2023-025
Date de publication:08/08/2023Description | Gravité | Remarques |
---|---|---|
Intel a récemment annoncé l'avis de sécurité Intel INTEL-SA-00828 qui concerne certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques sur la base de cet avis. Impact sur Google Cloud VMware EngineNotre parc utilise les familles de processeurs concernées. Dans notre déploiement, l'ensemble du serveur est dédié à un seul client. Notre modèle de déploiement n'ajoute donc aucun risque supplémentaire à votre évaluation de cette faille. Nous collaborons avec nos partenaires pour obtenir les correctifs nécessaires. Nous allons déployer ces correctifs en priorité sur l'ensemble du parc en suivant le processus de mise à niveau standard au cours des prochaines semaines. Que dois-je faire ?Aucune action n'est requise de votre part. Nous mettons tout en œuvre pour mettre à niveau tous les systèmes concernés. |
Élevée |
GCP-2023-024
Date de publication:08/08/2023
Mise à jour:10-08-2023, 04-06-2024
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 04/06/2024:Les produits manquants suivants ont été mis à jour pour corriger cette faille:
Mise à jour du 10/08/2023:ajout du numéro de version LTS de ChromeOS. Intel a divulgué la présence d'une faille dans certains processeurs (CVE-2022-40982). Google a pris des mesures pour atténuer les effets de cet abandon sur son parc de serveurs, y compris Google Cloud, afin de protéger ses clients. Détails de la faille:
Que dois-je faire ?
Aucune action n'est requise de la part du client. Tous les correctifs disponibles ont déjà été appliqués au parc de serveurs Google pour Google Cloud, y compris Google Compute Engine. Pour le moment, les produits suivants nécessitent des mises à jour supplémentaires de la part des partenaires et des fournisseurs.
Google corrigera ces produits une fois que ces correctifs seront disponibles, et ce bulletin sera mis à jour en conséquence. Les clients Google Chromebook et ChromeOS Flex ont automatiquement reçu les mesures d'atténuation fournies par Intel dans les versions stable (115), LTS (108), bêta (116) et LTC (114). Les clients Chromebook et ChromeOS Flex épinglés à une version plus ancienne doivent envisager d'annuler l'épinglage et de passer à des versions stables ou LTS pour s'assurer qu'ils reçoivent cette correction et d'autres correctifs. Quelles failles sont corrigées ? CVE-2022-40982 : pour en savoir plus, consultez l'avis de sécurité Intel INTEL-SA-00828. |
Élevée | CVE-2022-40982 |
GCP-2023-023
Date de publication:08/08/2023
Description
Description | Gravité | Remarques |
---|---|---|
AMD a divulgué la présence d'une faille dans certains processeurs (CVE-2023-20569). Google a pris des mesures pour atténuer les effets de cet abandon sur son parc de serveurs, y compris Google Cloud, afin de protéger ses clients. Détails de la faille:
Que dois-je faire ?
Les utilisateurs de VM Compute Engine doivent envisager les mesures d'atténuation fournies par le système d'exploitation s'ils ont recours à l'exécution de code intra-instance non approuvé. Nous recommandons aux clients de contacter leurs fournisseurs d'OS pour obtenir des conseils plus spécifiques. Des corrections ont déjà été appliquées au parc de serveurs Google pour Google Cloud, y compris Google Compute Engine. Quelles failles sont corrigées ? CVE-2023-20569 : pour plus d'informations, consultez la page AMD SB-7005. |
Moyen | CVE-2023-20569 |
GCP-2023-022
Date de publication : 03/08/2023
Description
Description | Gravité | Remarques |
---|---|---|
Google a identifié une faille dans les implémentations C++ gRPC avant la version 1.57. Il s'agissait d'une faille de déni de service dans l'implémentation C++ de gRPC. Ces problèmes ont été corrigés dans les versions 1.53.2, 1.54.3, 1.55.2, 1.56.2 et 1.57. Que dois-je faire ? Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:
Quelles failles sont corrigées ? Ces correctifs atténuent les failles suivantes:
| Élevée | CVE-2023-33953 |
GCP-2023-021
Updated:2023-07-26
Published:2023-07-25
Description
Description | Gravité | Remarques |
---|---|---|
Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. |
Élevée |
GCP-2023-020
Updated:2023-07-26
Date de publication : 24/07/2023
Description
Description | Gravité | Remarques |
---|---|---|
AMD a publié une mise à jour de microcode qui corrige une faille de sécurité matérielle (CVE-2023-20593). Google a appliqué les correctifs nécessaires à cette faille sur son parc de serveurs, y compris les serveurs de Google Cloud Platform. Les tests montrent qu'il n'y a aucun impact sur les performances des systèmes. Que dois-je faire ? Aucune action n'est requise de la part du client, car des correctifs ont déjà été appliqués au parc de serveurs Google pour Google Cloud Platform. Quelles failles sont corrigées ? CVE-2023-20593 corrige une faille dans certains processeurs AMD. Pour en savoir plus, cliquez ici. | Élevée | CVE-2023-20593 |
GCP-2023-019
Published:2023-07-18
Description
Description | Gravité | Remarques |
---|---|---|
Une nouvelle faille (CVE-2023-35945) a été découverte dans Envoy. Une réponse spécifiquement conçue à partir d'un service en amont non approuvé peut entraîner un déni de service par épuisement de la mémoire. Cela est dû au codec HTTP/2 d'Envoy, qui peut entraîner une fuite d'un mappage d'en-tête et des structures de tenue de registres lors de la réception de Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. | Élevée | CVE-2023-35945 |
GCP-2023-018
Date de publication:27/06/2023
Description
Description | Gravité | Remarques |
---|---|---|
Une nouvelle faille (CVE-2023-2235) a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE Autopilot sont affectés, car les nœuds GKE Autopilot utilisent toujours des images de nœuds Container-Optimized OS. Les clusters GKE Standard avec les versions 1.25 ou ultérieure qui exécutent des images de nœuds Container-Optimized OS sont affectés. Les clusters GKE ne sont pas affectés s'ils exécutent uniquement des images de nœuds Ubuntu, s'ils exécutent des versions antérieures à la version 1.25 ou s'ils utilisent GKE Sandbox. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-2235 |
GCP-2023-017
Date de publication:26/06/2023
Mise à jour:11-07-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 11/07/2023:les nouvelles versions de GKE ont été mises à jour pour inclure les dernières versions d'Ubuntu qui corrigent la faille CVE-2023-31436. Une nouvelle faille (CVE-2023-31436) a été découverte dans le kernel Linux, ce qui peut entraîner une élévation des privilèges sur le nœud. Les clusters GKE, y compris les clusters Autopilot, sont affectés. Les clusters GKE utilisant GKE Sandbox ne sont pas concernés. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-31436 |
GCP-2023-016
Date de publication:26/06/2023
Description
Description | Gravité | Remarques |
---|---|---|
Un certain nombre de failles ont été découvertes dans Envoy, qui est utilisé dans Cloud Service Mesh pour permettre à un pirate informatique malveillant de provoquer un déni de service ou de faire planter Envoy. Celles-ci étaient signalées séparément sous la forme GCP-2023-002. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487 |
GCP-2023-015
Date de publication:20/06/2023
Description
Description | Gravité | Remarques |
---|---|---|
Une nouvelle faille, CVE-2023-0468, a été découverte dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d’élever les privilèges vers le statut root lorsque io_poll_get_ownership va continuer à augmenter req->poll_refs à chaque io_poll_wake, puis dépasser à 0, ce qui fput req->file et provoquera un problème de refcount du fichier struct. Les clusters GKE, y compris les clusters Autopilot, avec Container-Optimized OS utilisant le noyau Linux version 5.15 sont affectés. Les clusters GKE utilisant des images Ubuntu ou GKE Sandbox ne sont pas affectés. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Moyenne | CVE-CVE-2023-0468 |
GCP-2023-014
Dernière mise à jour: 11-08-2023
Date de publication:15-06-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 11/08/2023 : ajout de versions de correctif pour GKE sur VMware, GKE sur AWS, GKE sur Azure et Google Distributed Cloud Virtual for Bare Metal. Deux nouveaux problèmes de sécurité ont été découverts dans Kubernetes : les utilisateurs peuvent désormais lancer des conteneurs qui contournent les restrictions de stratégie lors de l'utilisation de conteneurs éphémères, et ImagePolicyWebhook (CVE-2023-2727) ou le plug-in d'admission ServiceAccount (CVE-2023-2728). Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Moyenne | CVE-2023-2727, CVE-2023-2728 |
GCP-2023-013
Date de publication:08/06/2023
Description
Description | Gravité | Remarques |
---|---|---|
Lorsque vous activez l'API Cloud Build dans un projet, Cloud Build crée automatiquement un compte de service par défaut pour exécuter des compilations en votre nom. Ce compte de service Cloud Build disposait auparavant de l'autorisation IAM Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Cloud Build. |
Basse |
GCP-2023-010
Date de publication:07/06/2023
Description
Description | Gravité | Remarques |
---|---|---|
Google a identifié trois nouvelles failles dans l'implémentation de gRPC C++. Elles seront bientôt publiées publiquement sous les noms CVE-2023-1428, CVE-2023-32731 et CVE-2023-32732. En avril, nous avons identifié deux failles dans les versions 1.53 et 1.54. L'une était une vulnérabilité de déni de service dans l'implémentation C++ de gRPC, et l'autre une vulnérabilité d'exfiltration de données à distance. Ces problèmes ont été corrigés dans les versions 1.53.1, 1.54.2 et ultérieures. En mars, nos équipes internes ont découvert une faille de déni de service dans l'implémentation C++ de gRPC lors d'activités de fuzzing de routine. Il était présent dans la version 1.52 de gRPC et a été corrigé dans les versions 1.52.2 et 1.53. Que dois-je faire ?Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:
Quelles failles ces correctifs résolvent-ils ?Ces correctifs atténuent les failles suivantes:
Nous vous recommandons d'effectuer une mise à niveau vers les dernières versions des packages logiciels suivants, comme indiqué ci-dessus. |
High (CVE-2023-1428, CVE-2023-32731). Moyenne (CVE-2023-32732) | CVE-2023-1428, CVE-2023-32731, CVE-023-32732 |
GCP-2023-009
Date de publication:06/06/2023
Description
Description | Gravité | Remarques |
---|---|---|
Une nouvelle faille (CVE-2023-2878) a été découverte dans le pilote "secrets-store-csi-driver". Elle permet à un acteur ayant accès aux journaux du pilote d'observer les jetons de compte de service. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Aucune | CVE-2023-2878 |
GCP-2023-008
Date de publication:05/06/2023
Description
Description | Gravité | Remarques |
---|---|---|
Une nouvelle faille (CVE-2023-1872) a été découverte dans le noyau Linux. Elle peut entraîner une élévation des privilèges au niveau racine du nœud. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-1872 |
GCP-2023-007
Date de publication : 02/06/2023
Description
Description | Gravité | Remarques |
---|---|---|
Une faille a récemment été détectée dans Cloud SQL pour SQL Server. Elle permettait aux comptes administrateur des clients de créer des déclencheurs dans la base de données Google Cloud a résolu le problème en corrigeant la faille de sécurité avant le 1er mars 2023. Google Cloud n'a trouvé aucune instance client compromise. Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Cloud SQL. |
Élevée |
GCP-2023-005
Date de publication:18/05/2023
Mise à jour:06/06/2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 06/06/2023:les nouvelles versions de GKE ont été mises à jour afin d'inclure les dernières versions d'Ubuntu qui corrigent les failles CVE-2023-1281 et CVE-2023-1829. Deux nouvelles failles (CVE-2023-1281, CVE-2023-1829) ont été découvertes dans le noyau Linux et peuvent entraîner une élévation des privilèges au niveau racine du nœud. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
Date de publication:26/04/2023
Description
Description | Gravité | Remarques |
---|---|---|
Deux failles (CVE-2023-1017 et CVE-2023-1018) ont été découvertes dans le module TPM 2.0. Ces failles auraient pu permettre à un pirate informatique sophistiqué d'exploiter des opérations de lecture/écriture hors limites de 2 octets sur certaines VM Compute Engine. Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité Compute Engine. |
Moyenne |
GCP-2023-003
Date de publication:11/04/2023
Mise à jour:21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Deux nouvelles failles, CVE-2023-0240 et CVE-2023-23586, ont été découvertes dans le noyau Linux. Elles pourraient permettre à un utilisateur non privilégié d'élever ses privilèges. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2023-0240, CVE-2023-23586 |
GCP-2023-002
Description
Description | Gravité | Remarques |
---|---|---|
Les failles CVE suivantes exposent Cloud Service Mesh à des failles exploitables:
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh : |
Élevée |
GCP-2023-001
Date de publication:01/03/2023, 21/12/2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Une nouvelle faille (CVE-2022-4696) a été détectée dans le noyau Linux et peut entraîner une élévation des privilèges sur le nœud. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2022-4696 |
GCP-2022-026
Date de publication:11/01/2023
Description
Description | Gravité | Remarques |
---|---|---|
Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6 et peuvent potentiellement entraîner un plantage. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Moyenne |
GCP-2022-025
Date de publication:21-12-2022
Dernière mise à jour:19-01-2023, 21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Mise à jour du 19/01/2023:ajout d'informations sur la disponibilité de la version 1.21.14-gke.14100 de GKE. Deux nouvelles failles (CVE-2022-3786 et CVE-2022-3602) ont été découvertes dans OpenSSL v3.0.6 et peuvent potentiellement entraîner un plantage. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Moyenne |
GCP-2022-024
Date de publication:09/11/2022
Mise à jour:19-01-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 19/01/2023:ajout d'informations sur la disponibilité de la version 1.21.14-gke.14100 de GKE. Mise à jour du 16/12/2022:ajout de versions de correctif pour GKE et GKE sur VMware. Deux nouvelles failles (CVE-2022-2585 et CVE-2022-2588) ont été découvertes dans le noyau Linux. Elles peuvent entraîner l'apparition d'un conteneur complet en mode root sur le nœud. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Élevée |
GCP-2022-023
Date de publication:04/11/2022
Description
Description | Gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2022-39278, a été découverte dans Istio. Il est utilisé dans Cloud Service Mesh et permet à un pirate informatique malveillant de faire planter le plan de contrôle. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2022-39278 |
GCP-2022-022
Date de publication:28/10/2022
Mise à jour:14-12-2022
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 14/12/2022:ajout de versions de correctif pour GKE et GKE sur VMware. Une nouvelle faille, CVE-2022-20409, a été découverte dans le noyau Linux. Elle pourrait permettre à un utilisateur non privilégié d'obtenir un privilège d'exécution du système. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2022-20409 |
GCP-2022-021
Date de publication:27/10/2022
Mise à jour:19-01-2023, 21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Mise à jour du 19/01/2023:ajout d'informations sur la disponibilité de la version 1.21.14-gke.14100 de GKE. Mise à jour du 15/12/2022:informations mises à jour indiquant que la version 1.21.14-gke.9400 de Google Kubernetes Engine est en attente de déploiement et peut être remplacée par un numéro de version plus élevé. Mise à jour du 22/11/2022:ajout de versions de correctif pour GKE sur VMware, GKE sur AWS et GKE sur Azure. Une nouvelle faille, CVE-2022-3176, a été découverte dans le noyau Linux et peut entraîner une élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'accéder à la racine du conteneur sur le nœud. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : |
Élevée | CVE-2022-3176 |
GCP-2022-020
Date de publication:05/10/2022
Mise à jour:12-10-2022
Description
Description | Gravité | Remarques |
---|---|---|
Le plan de contrôle Istio Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. |
Élevée | CVE-2022-39278 |
GCP-2022-019
Date de publication:22/09/2022
Description
Description | Gravité | Remarques |
---|---|---|
Une faille liée à l'analyse des messages et à la gestion de la mémoire dans les implémentations C++ et Python de ProtocolBuffer peut déclencher un échec de mémoire insuffisante lors du traitement d'un message spécialement conçu. Cela peut entraîner un déni de service (DoS) sur les services utilisant les bibliothèques. Que dois-je faire ?Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:
Quelles failles ce correctif permet-il de résoudre ?Ce correctif réduit les risques liés à la faille suivante :
Petit message spécialement conçu qui amène le service en cours d'exécution à allouer de grandes quantités de RAM. La petite taille de la requête signifie qu'il est facile de tirer parti de la faille et d'épuiser les ressources. Les systèmes C++ et Python qui utilisent des tampons de protocole non approuvés seront vulnérables aux attaques DoS s'ils contiennent un objet |
Moyenne | CVE-2022-1941 |
GCP-2022-018
Date de publication:01/08/2022
Mise à jour:14-09-2022, 21-12-2023
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 21/12/2023:indiquez clairement que les clusters GKE Autopilot de la configuration par défaut ne sont pas affectés. Mise à jour du 14/09/2022:ajout de versions de correctif pour GKE sur VMware, GKE sur AWS et GKE sur Azure. Une nouvelle faille (CVE-2022-2327) a été détectée dans le noyau Linux, qui peut entraîner l'élévation des privilèges locaux. Cette faille permet à un utilisateur non privilégié d'échapper complètement au conteneur pour arriver à la racine du nœud. Pour en savoir plus et obtenir des instructions, consultez les bulletins suivants : | Élevée | CVE-2022-2327 |
GCP-2022-017
Date de publication:29-06-2022
Dernière mise à jour:22-11-2022
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:les charges de travail utilisant GKE Sandbox ne sont pas affectées par ces failles. Mise à jour du 21/07/2022:informations supplémentaires sur GKE sur VMware. Une nouvelle faille (CVE-2022-1786) a été détectée dans les versions de noyau Linux 5.10 et 5.11. Cette faille permet à un utilisateur non privilégié disposant d'un accès local au cluster de s'échapper d'un conteneur pour obtenir un accès racine au nœud. Seuls les clusters qui exécutent Container-Optimized OS sont affectés. Les versions d'Ubuntu GKE utilisent la version 5.4 ou 5.15 du noyau et ne sont pas affectées. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Élevée | CVE-2022-1786 |
GCP-2022-016
Date de publication:23-06-2022
Dernière mise à jour:22-11-2022
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:les clusters Autopilot ne sont pas affectés par CVE-2022-29581, mais sont vulnérables à CVE-2022-29582 et CVE-2022-1116. Trois nouvelles failles de corruption de mémoire (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) ont été découvertes dans le noyau Linux. Ces failles permettent à un utilisateur non privilégié disposant d'un accès local au cluster de procéder à la répartition complète du conteneur vers le mode root sur le nœud. Tous les clusters Linux (Container-Optimized OS et Ubuntu) sont affectés. Pour obtenir des instructions et plus d'informations, consultez les bulletins suivants: |
Élevée |
GCP-2022-015
Date de publication:09-06-2022
Dernière mise à jour:10-06-2022
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 10/06/2022:les versions de Cloud Service Mesh ont été mises à jour. Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. Les failles CVE Envoy et Istio suivantes exposent Cloud Service Mesh et Istio sur GKE à des failles exploitables à distance:
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. |
Critique |
GCP-2022-014
Date de publication:26-04-2022
Dernière mise à jour:22-11-2022
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:les clusters GKE Autopilot et les charges de travail exécutées dans GKE Sandbox ne sont pas affectés. Mise à jour du 12/05/2022:les versions de GKE sur AWS et de GKE sur Azure ont été mises à jour. Pour obtenir des instructions et en savoir plus, consultez les pages suivantes:
Deux failles de sécurité, CVE-2022-1055 et CVE-2022-27666, ont été détectées dans le noyau Linux. Chacune d'entre elles peut permettre à un pirate informatique local d'effectuer une interruption des conteneurs, une élévation des privilèges sur l'hôte, ou les deux. Ces failles affectent tous les systèmes d'exploitation du nœud GKE (Container-Optimized OS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevée |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Date de publication:11-04-2022
Dernière mise à jour:22-04-2022
Description
Description | Gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2022-23648, a été détectée dans la gestion du balayage de chemin d'accès de containerd dans la spécification du volume d'images OCI. Les conteneurs lancés via l'implémentation CRI de containerd avec une configuration d'image spécialement conçue à cet effet peuvent bénéficier d'un accès en lecture complet aux fichiers et répertoires arbitraires de l'hôte. Cette faille peut contourner toute application basée sur des règles lors de la configuration du conteneur (y compris une stratégie de sécurité des pods Kubernetes). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyenne | CVE-2022-23648 |
GCP-2022-012
Date de publication:07-04-2022
Dernière mise à jour:22-11-2022
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 22/11/2022:pour les clusters GKE dans les deux modes (Standard et Autopilot), les charges de travail utilisant GKE Sandbox ne sont pas affectées. Une faille de sécurité, CVE-2022-0847, a été détectée dans les versions 5.8 et ultérieures du noyau Linux. Celle-ci peut potentiellement faire remonter les droits du conteneur à la racine. Cette faille affecte les produits suivants:
Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevée | CVE-2022-0847 |
GCP-2022-011
Date de publication:22-03-2022
Dernière mise à jour: 11-08-2022
Description
Description | Gravité |
---|---|
Mise à jour du 11/08/2022 : ajout d'informations sur la configuration multithread (Simultaneous Multi-Threading) . SMT était destiné à être désactivé, mais il a été activé sur les versions répertoriées. Si vous avez activé manuellement SMT pour un pool de nœuds en bac à sable, SMT restera activé manuellement, malgré ce problème. Il existe une erreur de configuration avec le mode SMT (Simultaneous Multi-Threading), également appelé Hyper-Threading, sur les images GKE Sandbox. L'erreur de configuration laisse des nœuds potentiellement exposés à des attaques de versions secondaires, telles que l'échantillonnage des données microarchitecturales (pour en savoir plus, consultez la documentation de GKE Sandbox). Nous vous déconseillons d'utiliser les versions concernées suivantes :
Pour obtenir des instructions et des informations supplémentaires, consultez le bulletin de sécurité de GKE. |
Moyenne |
GCP-2022-010
Description
Description | Gravité | Remarques |
---|---|---|
La faille CVE d'Istio suivante expose Cloud Service Mesh à une faille exploitable à distance:
Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité suivant: |
Élevée |
GCP-2022-009
Date de publication:01/03/2022Description
Description | Gravité |
---|---|
Certains chemins inattendus permettant d'accéder à la VM de nœud sur les clusters GKE Autopilot auraient pu être utilisés pour une élévation des privilèges dans le cluster. Ces problèmes ont été corrigés et aucune autre action n'est requise. Ces correctifs permettent de résoudre les problèmes signalés via notre Vulnerability Reward Program. Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de GKE. |
Basse |
GCP-2022-008
Date de publication:23-02-2022
Dernière mise à jour: 28-04-2022
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 28/04/2022 : ajout de versions de GKE sur VMware qui corrigent ces failles. Pour en savoir plus, consultez le bulletin de sécurité de GKE sur VMware. Le projet Envoy a récemment découvert un ensemble de failles. Tous les problèmes répertoriés ci-dessous sont résolus dans la version 1.21.1 d'Envoy.
Que dois-je faire ? Les utilisateurs Envoy qui gèrent leurs propres objets Envoy doivent s'assurer qu'ils utilisent la version 1.21.1 d'Envoy. Les utilisateurs Envoy qui gèrent leurs propres fichiers Envoy créent les binaires à partir d'une source telle que GitHub et les déploient. Aucune action n'est requise de la part des utilisateurs qui exécutent des serveurs Envoy gérés (Google Cloud fournit les binaires Envoy), pour lesquels les produits Google Cloud passeront à la version 1.21.1. |
Élevée |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654CVE-2022-21657 |
GCP-2022-007
Date de publication:22/02/2022Description
Description | Gravité | Remarques |
---|---|---|
Les failles CVE Envoy et Istio suivantes exposent Cloud Service Mesh et Istio sur GKE à des failles exploitables à distance:
Pour obtenir des instructions et des informations supplémentaires, consultez les bulletins de sécurité suivants: |
Élevée |
GCP-2022-006
Date de publication:14-02-2022Dernière mise à jour: 16-05-2022
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 16/05/2022:ajout de la version 1.19.16-gke.7800 ou d'une version ultérieure de GKE à la liste des versions comportant le code permettant de corriger cette faille. Pour en savoir plus, consultez le bulletin de sécurité de GKE. Mise à jour du 12/05/2022:les versions de GKE, GKE sur VMware, GKE sur AWS et GKE sur Azure ont été mises à jour. Pour obtenir des instructions et en savoir plus, consultez les pages suivantes:
Une faille de sécurité, CVE-2022-0492, a été détectée dans la fonction |
Basse |
Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
GCP-2022-005
Date de publication:11-02-2022Dernière mise à jour: 15-02-2022
Description
Description | Gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2021-43527, a été détectée dans tout binaire lié aux versions vulnérables de libnss3 trouvées dans les versions NSS (Network Security Services) antérieures à la version 3.73 ou 3.68.1. Les applications utilisant NSS pour la validation du certificat ou d'autres fonctionnalités TLS, X.509, OCSP ou CRL peuvent être affectées, suivant la manière dont NSS est utilisé/configuré. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Moyenne | CVE-2021-43527 |
GCP-2022-004
Date de publication:04/02/2022Description
Description | Gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2021-4034, a été détectée dans pkexec, une partie du package du kit de règles Linux (polkit), qui permet à un utilisateur authentifié d'effectuer une attaque d'élévation des privilèges. PolicyKit n'est généralement utilisé que sur les systèmes de bureau Linux pour permettre aux utilisateurs non racines d'effectuer des actions telles que le redémarrage du système, l'installation de packages ou le redémarrage de services conformément à une règle. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Aucune | CVE-2021-4034 |
GCP-2022-002
Date de publication:01-02-2022Dernière mise à jour:25-02-2022
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 25/02/2022:les versions de GKE ont été mises à jour. Pour obtenir des instructions et en savoir plus, consultez les pages suivantes: Mise à jour du 23/02/2022 : les versions de GKE et de GKE sur VMware ont été mises à jour. Pour obtenir des instructions et en savoir plus, consultez les pages suivantes: Mise à jour du 04-02-2022 : la date de début du déploiement des versions de correctif de GKE était le 2 février. Trois failles de sécurité : CVE-2021-4154, CVE-2021-22600 et CVE-2022-0185 ont été découvertes dans le noyau Linux, chacune pouvant entraîner une rupture de conteneur, une élévation des privilèges sur l'hôte ou les deux. Ces failles affectent tous les systèmes d'exploitation de nœud (COS et Ubuntu) sur GKE, GKE sur VMware, GKE sur AWS (génération actuelle et précédente) et GKE sur Azure. Les pods utilisant GKE Sandbox ne sont pas vulnérables à ces failles. Pour en savoir plus, consultez la page Notes de version. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Élevée |
GCP-2022-001
Date de publication:06/01/2022Description
Description | Gravité | Remarques |
---|---|---|
Un problème potentiel de déni de service dans Que dois-je faire ? Assurez-vous d'utiliser les dernières versions des packages logiciels suivants:
Les utilisateurs Protobuf "javalite" (généralement Android) ne sont pas concernés. Quelles failles ce correctif permet-il de résoudre ? Ce correctif réduit les risques liés à la faille suivante : Une faille liée à l'implémentation concernant l'analyse des champs inconnus en Java. Une petite charge utile malveillante (environ 800 Ko) peut occuper l'analyseur pendant plusieurs minutes en créant un grand nombre d'objets à courte durée de vie qui entraînent des pauses fréquentes et répétées de la récupération de mémoire. |
Élevée | CVE-2021-22569 |
GCP-2021-024
Date de publication:21/10/2021Description
Description | Gravité | Remarques |
---|---|---|
Un problème de sécurité a été détecté dans le contrôleur Kubernetes ingress-nginx, CVE-2021-25742. Les extraits personnalisés ingress-nginx permettent la récupération des jetons de compte de service ingress-nginx et des secrets sur tous les espaces de noms. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: | Aucune | CVE-2021-25742 |
GCP-2021-019
Date de publication:29/09/2021Description
Description | Gravité | Remarques |
---|---|---|
Il existe un problème connu lorsque la mise à jour d'une ressource Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Faible |
GCP-2021-022
Date de publication:22/09/2021Description
Description | Gravité | Remarques |
---|---|---|
Une faille a été détectée dans le module LDAP GKE Enterprise Identity Service (AIS) de GKE sur les versions 1.8 et 1.8.1 de GKE sur VMware, dans lequel une clé source utilisée pour générer des clés est prévisible. Avec cette faille, un utilisateur authentifié peut ajouter des revendications arbitraires et élever les privilèges indéfiniment. Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de GKE sur VMware. |
Élevée |
GCP-2021-021
Date de publication:22/09/2021Description
Description | Gravité | Remarques |
---|---|---|
Une faille de sécurité, CVE-2020-8561, a été détectée dans Kubernetes. Certains webhooks peuvent être effectués pour rediriger les requêtes kube-apiserver vers des réseaux privés de cette API. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Moyenne | CVE-2020-8561 |
GCP-2021-023
Date de publication:21/09/2021Description
Description | Gravité | Remarques |
---|---|---|
Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau). Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-020
Date de publication:17/09/2021Description
Description | Gravité | Remarques |
---|---|---|
Certains équilibreurs de charge Google Cloud qui acheminent vers un service de backend Identity-Aware Proxy (IAP) peuvent être vulnérables à une partie non approuvée dans des conditions limitées. Ce changement résout un problème signalé via notre Vulnerability Reward Program. Les conditions étaient les suivantes :
De plus, un utilisateur de votre organisation doit avoir cliqué sur un lien spécialement créé qui a été envoyé par une partie non approuvée. Le problème a donc été résolu. IAP a été mis à jour pour émettre des cookies uniquement vers les hôtes autorisés depuis le 17 septembre 2021. Un hôte est considéré comme étant autorisé s'il correspond à au moins un SAN (Subject Alternative Name, nom alternatif du sujet) dans l'un des certificats installés sur vos équilibreurs de charge. Que devez-vous faire ?
Certains de vos utilisateurs pourraient recevoir une réponse "HTTP 401: Unauthorized" accompagnée du code d'erreur 52 d'IAP en essayant d'accéder à vos applications ou services. Ce code d'erreur signifie que le client a envoyé un en-tête |
Élevé |
GCP-2021-018
Date de publication:15-09-2021Dernière mise à jour:20-09-2021
Description
Description | Gravité | Remarques |
---|---|---|
Un problème de sécurité a été détecté dans Kubernetes, CVE-2021-25741, où un utilisateur peut créer un conteneur avec des montages de volume de sous-chemin pour accéder aux fichiers et répertoires en dehors du volume, y compris sur le système de fichiers hôte. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Élevée | CVE-2021-25741 |
GCP-2021-017
Date de publication:01-09-2021Dernière mise à jour:23-09-2021
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 23-09-2021 : les conteneurs s'exécutant dans GKE Sandbox ne sont pas affectés par cette faille pour les attaques provenant du conteneur. Deux failles de sécurité, CVE-2021-33909 et CVE-2021-33910, ont été détectées dans le noyau Linux. Elles peuvent provoquer un plantage du système d'exploitation ou une escalade vers la racine par un utilisateur non privilégié. Cette faille affecte tous les systèmes d'exploitation du nœud GKE (COS et Ubuntu). Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevée | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Date de publication:24/08/2021Description
Description | Gravité | Remarques |
---|---|---|
Les failles CVE Envoy et Istio suivantes exposent Cloud Service Mesh et Istio sur GKE à des failles exploitables à distance:
Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevée |
GCP-2021-015
Date de publication:13-07-2021Dernière mise à jour:15-07-2021
Description
Description | Gravité | Remarques |
---|---|---|
Une nouvelle faille de sécurité, CVE-2021-22555, a été détectée dans laquelle un acteur malveillant doté de privilèges Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Élevée | CVE-2021-22555 |
GCP-2021-014
Date de publication:05/07/2021Description
Description | Gravité | Remarques |
---|---|---|
Microsoft a publié un bulletin de sécurité sur la faille d'exécution de code à distance (RCE, Remote Code Execution) CVE-2021-34527, qui affecte le spouleur d'impression sur les serveurs Windows. Le CERT Coordination Center (CERT/CC) a publié une note de mise à jour sur une faille similaire, surnommée "PrintNightmare", qui affecte également les spouleurs d'impression Windows : PrintNightmare, Critical Windows Print Spooler Vulnerability. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Élevée | CVE-2021-34527 |
GCP-2021-012
Date de publication:24-06-2021Dernière mise à jour:09-07-2021
Description
Description | Gravité | Remarques |
---|---|---|
Le projet Istio a récemment annoncé une faille de sécurité dans laquelle les identifiants spécifiés dans le champ "GatewayGateway" et "DestinationRule credentialName" sont accessibles depuis différents espaces de noms. Pour en savoir plus sur les produits concernés et obtenir plus d'informations, consultez les pages suivantes :
|
Élevée | CVE-2021-34824 |
GCP-2021-011
Date de publication:04-06-2021Dernière mise à jour:19-10-2021
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour du 19-10-2021 : Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants :
La communauté de sécurité a récemment divulgué une nouvelle faille de sécurité (CVE-2021-30465) dans Pour GKE, étant donné que l'exploitation de cette faille nécessite la création de pods, nous avons évalué la gravité de cette faille sur MOYEN. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité de GKE. |
Moyenne | CVE-2021-30465 |
GCP-2021-010
Date de publication : 2021-05-25Description
Description | Gravité | Remarques |
---|---|---|
Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986 Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les correctifs appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles. Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-008
Date de publication:17/05/2021Description
Description | Gravité | Remarques |
---|---|---|
Istio contient une faille exploitable à distance : lorsqu'une passerelle est configurée avec la configuration de routage Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. |
Élevée |
CVE-2021-31921 |
GCP-2021-007
Date de publication:17/05/2021Description
Description | Gravité | Remarques |
---|---|---|
Istio contient une faille exploitable à distance : un chemin de requête HTTP comportant plusieurs barres obliques ou caractères obliques échappés ( Pour obtenir des instructions et plus d'informations, consultez le bulletin de sécurité de Cloud Service Mesh. |
Élevée |
CVE-2021-31920 |
GCP-2021-006
Date de publication:11/05/2021Description
Description | Gravité | Remarques |
---|---|---|
Le projet Istio a récemment disclosed une nouvelle faille de sécurité (CVE-2021-31920) qui affecte Istio. Istio contient une faille exploitable à distance : une requête HTTP comportant plusieurs barres obliques ou des caractères de barre oblique échappé peut contourner les règles d'autorisation Istio lorsque des règles d'autorisation basées sur le chemin d'accès sont utilisées. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Élevé |
CVE-2021-31920 |
GCP-2021-005
Date de publication:11/05/2021Description
Description | Gravité | Remarques |
---|---|---|
Une faille signalée a montré qu'Envoy ne décode pas les séquences de barres obliques échappées Que dois-je faire ?
Si les serveurs backend traitent Quels changements de comportement ont été introduits ?Les options normalize_path et merge adjacent slashes d'Envoy ont été activées pour corriger les autres failles courantes de confusion des chemins d'accès dans les produits basés sur Envoy. |
Élevée |
CVE-2021-29492 |
GCP-2021-004
Date de publication:06/05/2021Description
Description | Gravité | Remarques |
---|---|---|
Les projets Envoy et Istio ont récemment annoncé plusieurs nouvelles failles de sécurité (CVE-2021-28683, CVE-2021-28682 et CVE-2021-29258), qui pourraient permettre à un pirate informatique de faire planter Envoy. Les clusters Google Kubernetes Engine n'exécutent pas Istio par défaut et ne sont pas vulnérables. Si Istio a été installé dans un cluster et est configuré pour exposer des services sur Internet, ces services peuvent être vulnérables aux attaques par déni de service. Google Distributed Cloud Virtual for Bare Metal et GKE sur VMware utilisent Envoy par défaut pour Ingress. Les services Ingress peuvent donc être vulnérables aux dénis de service. Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyenne |
GCP-2021-003
Date de publication:19/04/2021Description
Description | Gravité | Remarques |
---|---|---|
Le projet Kubernetes a annoncé récemment une nouvelle faille de sécurité, CVE-2021-25735, qui pourrait permettre aux mises à jour de nœuds de contourner un webhook d'admission de validation.
Dans un scénario dans lequel un pirate informatique dispose de privilèges suffisants, et lorsqu'un webhook d'admission de validation est mis en œuvre à l'aide d'anciennes propriétés d'objet Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Moyenne |
GCP-2021-002
Date de publication : 05/03/2021Description
Description | Gravité | Remarques |
---|---|---|
Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974. Impact sur VMware EngineD'après nos investigations, aucun client n'a été touché. Que dois-je faire ?Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise. |
Critique |
GCP-2021-001
Date de publication:28/01/2021Description
Description | Gravité | Remarques |
---|---|---|
Une faille a été récemment découverte dans l'utilitaire Linux L'infrastructure sous-jacente qui exécute Compute Engine n'est pas affectée par cette faille. Tous les clusters Google Kubernetes Engine (GKE), GKE sur VMware, GKE sur AWS et Google Distributed Cloud Virtual for Bare Metal ne sont pas affectés par cette faille. Pour en savoir plus et obtenir des instructions, consultez les bulletins de sécurité suivants : |
Aucune | CVE-2021-3156 |
GCP-2020-015
Date de publication:07-12-2020Dernière mise à jour:22-12-2020
Description
Description | Gravité | Remarques |
---|---|---|
Mise à jour: 22/12/2021. La commande pour GKE de la section suivante doit utiliser gcloud container clusters update –no-enable-service-externalips Mise à jour: 15/12/2021 Pour GKE, les mesures d'atténuation suivantes sont désormais disponibles :
Pour en savoir plus, consultez la section Renforcer la sécurité d'un cluster. Le projet Kubernetes a récemment découvert une nouvelle faille de sécurité : CVE-2020-8554. Celle-ci peut permettre à un pirate informatique ayant obtenu les autorisations nécessaires pour créer un service Kubernetes de type LoadBalancer ou ClusterIP d'intercepter le trafic réseau provenant d'autres pods du cluster. Cette faille, en elle-même, ne permet pas au pirate informatique de créer un service Kubernetes. Tous les clusters Google Kubernetes Engine (GKE), GKE sur VMware et GKE sur AWS sont affectés par cette faille. Que dois-je faire ?Pour en savoir plus et obtenir des instructions, consultez les pages suivantes : |
Moyenne |
CVE-2020-8554 |
GCP-2020-014
Date de publication:20-10-2020Dernière mise à jour:20-10-2020
Description
Description | Gravité | Remarques |
---|---|---|
Le projet Kubernetes a récemment découvert plusieurs problèmes qui permettent l'exposition des données des secrets lors de l'activation des options de journalisation détaillée. Les problèmes sont les suivants :
Que dois-je faire ?Aucune autre action n'est requise en raison des niveaux de journalisation détaillée par défaut de GKE. |
Aucune |
Impact sur Google Cloud
Des informations pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Google Kubernetes Engine (GKE) n'est pas affecté. |
|
GKE On-Prem n'est pas affecté. |
|
GKE sur AWS n'est pas affecté. |
GCP-2020-013
Date de publication:29/09/2020Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-1472 Une faille dans Windows Server permet aux pirates informatiques d'utiliser le protocole distant Netlogon pour exécuter une application spécialement conçue sur un appareil du réseau. |
Score de base NVD : 10 (critique) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Service géré pour Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2020-012
Date de publication: 14-09-2020Dernière mise à jour: 17-09-2020
Description
Description | Gravité | Remarques |
---|---|---|
Une faille a été récemment découverte dans le noyau Linux, décrite dans CVE-2020-14386, qui permet de s'échapper d'un conteneur pour obtenir un accès root sur le nœud hôte. Tous les nœuds GKE sont affectés. Les pods exécutés dans GKE Sandbox ne peuvent pas exploiter cette faille. Pour obtenir des instructions et plus d'informations, consultez les articles suivants:
Quelle faille ce correctif permet-il de résoudre ? Ce correctif réduit les risques liés à la faille suivante : La faille CVE-2020-14386, qui permet aux conteneurs avec CAP_NET_RAW d'écrire de 1 à 10 octets de mémoire du noyau, d'échapper le conteneur et d'obtenir des privilèges racine sur le nœud hôte. La gravité de cette faille est évaluée comme élevée. |
Élevée |
GCP-2020-011
Date de publication:24/07/2020Description
Description | Gravité | Remarques |
---|---|---|
Une faille réseau, CVE-2020-8558, a été récemment détectée dans Kubernetes. Les services communiquent parfois avec d'autres applications s'exécutant dans le même pod à l'aide de l'interface de rebouclage local (127.0.0.1). Cette faille permet à un pirate informatique ayant accès au réseau du cluster d'envoyer du trafic à l'interface de rebouclage des pods et nœuds adjacents. Les services reposant sur l'interface de rebouclage et non accessibles en dehors de leur pod peuvent être exploités. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Faible (GKE et GKE sur AWS), |
GCP-2020-010
Date de publication:27/07/2020Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-1350 : les serveurs Windows qui diffusent avec une capacité de serveur DNS peuvent être exploités par le compte système local pour exécuter du code non approuvé. |
Score de base NVD : 10,0 (critique) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Service géré pour Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2020-009
Date de publication:15/07/2020Description
Description | Gravité | Remarques |
---|---|---|
Une faille d'élévation des privilèges, CVE-2020-8559, a été récemment détectée dans Kubernetes. Cette faille permet à un pirate informatique ayant déjà compromis un nœud d'exécuter une commande dans n'importe quel pod du cluster. Le pirate peut ainsi utiliser le nœud déjà compromis pour en compromettre d'autres et potentiellement lire des informations, ou provoquer des actions de destruction. Notez que pour qu'un pirate informatique puisse exploiter cette faille, un nœud de votre cluster doit déjà avoir été compromis. Cette faille, en elle-même, ne compromettra pas les nœuds de votre cluster. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Moyen |
GCP-2020-008
Date de publication:19/06/2020Description
Description | Gravité | Remarques |
---|---|---|
DescriptionLes VM pour lesquelles OS Login est activé peuvent être exposées aux failles d'élévation des privilèges. Ces failles permettent aux utilisateurs disposant d'autorisations OS Login (mais pas d'un accès administrateur) de remonter jusqu'à l'accès racine dans la VM. Pour en savoir plus et obtenir des instructions, consultez le bulletin de sécurité Compute Engine.
|
Élevée |
GCP-2020-007
Date de publication:01/06/2020Description
Description | Gravité | Remarques |
---|---|---|
La faille SSRF (Server Side Request Forgery) CVE-2020-8555 a été détectée dans Kubernetes. Elle permet à certains utilisateurs autorisés de divulguer jusqu'à 500 octets d'informations sensibles à partir du réseau hôte du plan de contrôle. Le plan de contrôle de Google Kubernetes Engine (GKE) utilise des contrôleurs de Kubernetes et est donc affecté par cette faille. Nous vous recommandons de mettre à niveau le plan de contrôle vers la dernière version du correctif. Aucune mise à niveau de nœud n'est requise. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Moyenne |
GCP-2020-006
Date de publication:01/06/2020Description
Description | Gravité | Remarques |
---|---|---|
Kubernetes a divulgué une faille qui permet à un conteneur privilégié de rediriger le trafic de nœuds vers un autre conteneur. Le trafic TLS/SSH mutuel (entre le kubelet et le serveur d'API, ou en provenance d'applications via le protocole mTLS) ne peut pas être lu ni modifié par cette attaque. Tous les nœuds Google Kubernetes Engine (GKE) sont affectés par cette faille. Par conséquent, nous vous recommandons de procéder à la mise à niveau vers la dernière version du correctif. Pour obtenir des instructions et plus d'informations, consultez les articles suivants: |
Moyenne |
GCP-2020-005
Date de publication:07/05/2020Description
Faille |
Gravité |
CVE |
---|---|---|
La faille CVE-2020-8835 a été récemment découverte dans le noyau Linux. Elle permet de "s'échapper d'un conteneur" pour obtenir un accès root (racine) sur le nœud hôte. Les nœuds Ubuntu Google Kubernetes Engine (GKE) exécutant GKE 1.16 ou 1.17 sont affectés par cette faille. Par conséquent, nous vous recommandons de passer à la dernière version du correctif dès que possible. Veuillez consulter le bulletin de sécurité de GKE pour obtenir des instructions et plus d'informations. |
Élevée |
GCP-2020-004
Date de publication: 31-03-2020Dernière mise à jour: 31-03-2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11254 : faille de déni de service (DoS) affectant le serveur d'API. |
Moyenne |
Consultez le bulletin de sécurité de GKE sur VMware pour obtenir des instructions et plus d'informations.
GCP-2020-003
Date de publication: 31-03-2020Dernière mise à jour: 31-03-2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11254 : faille de déni de service (DoS) affectant le serveur d'API. |
Moyenne |
Consultez le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.
GCP-2020-002
Date de publication: 23-03-2020Dernière mise à jour: 23-03-2020
Description
Kubernetes a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-8551 : faille de déni de service (DoS) affectant le kubelet. |
Moyen |
|
CVE-2020-8552 : faille de déni de service (DoS) affectant le serveur d'API. |
Moyen |
Consultez le bulletin de sécurité de GKE pour en savoir plus et obtenir des instructions.
GCP-2020-001
Date de publication: 21-01-2020Dernière mise à jour: 21-01-2020
Description
Microsoft a divulgué la faille suivante :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2020-0601 : cette faille est également appelée "faille de spoofing de l'API Windows Crypto". Il pourrait être exploité pour faire croire aux exécutables malveillants ou pour permettre au pirate informatique de mener des attaques MITM ("man in the middle") et de déchiffrer des informations confidentielles sur les connexions utilisateur au logiciel concerné. |
Score de base NVD : 8,1 (élevé) |
Pour en savoir plus, consultez la divulgation de Microsoft.
Impact sur Google Cloud
L'infrastructure hébergeant les produits Google Cloud et Google n'est pas affectée par cette faille. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Service géré pour Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement standard App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Environnement flexible App Engine |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Run |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Functions |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud Composer |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataflow |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Dataproc |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
Cloud SQL |
Aucune action n'est requise de la part du client. Ce service n'est pas affecté par cette faille. |
GCP-2019-001
Date de publication:12-11-2019Dernière mise à jour: 12-11-2019
Description
Intel a divulgué les failles suivantes :
Faille |
Gravité |
CVE |
---|---|---|
CVE-2019-11135 — Cette faille s'intitule "TSX Asynchronous Abort" (abandon asynchrone de TSX). Elle peut être exploitée à des fins d'exécution spéculative au sein d'une transaction TSX. En raison de l'exposition de structures de données permise par l'échantillonnage de données microarchitectural, cette faille présente un risque de divulgation des données. |
Moyenne |
|
CVE-2018-12207 — Faille de déni de service (DoS) qui concerne les hôtes de machines virtuelles et non les invités. Cette faille s'intitule "Machine Check Error on Page Size Change" (erreur de vérification machine lors du changement de format de page). |
Moyenne |
Pour en savoir plus, consultez les divulgations d'Intel :
Impact sur Google Cloud
L'infrastructure d'hébergement des produits Google Cloud et Google est invulnérable à ces failles. Des informations complémentaires pour chaque produit sont répertoriées ci-dessous.
Produit |
Impact |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
Environnement standard App Engine |
Aucune autre action n'est requise. |
Environnement flexible App Engine |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Aucune autre action n'est requise. |
Cloud Functions |
Aucune autre action n'est requise. |
Cloud Composer |
Aucune autre action n'est requise. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Aucune autre action n'est requise. |