セキュリティに関する公開情報

次のセキュリティに関する公開情報は、Google Cloud プロダクトに関連するものです。

このページのセキュリティに関する公開情報を定期的に受け取るには、こちらの XML フィードを使用してください。

GCP-2024-022

公開日: 2024 年 4 月 3 日

説明

説明	重大度	メモ
先ごろ、サービス拒否攻撃（DoS）の脆弱性（CVE-2023-45288）が HTTP/2 プロトコルの複数の実装で発見されました。これには、Kubernetes で使用されている GoLang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine（GKE）コントロールプレーンの DoS が発生する可能性があります。手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-45288

重大度

メモ

先ごろ、サービス拒否攻撃（DoS）の脆弱性（CVE-2023-45288）が HTTP/2 プロトコルの複数の実装で発見されました。これには、Kubernetes で使用されている GoLang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine（GKE）コントロールプレーンの DoS が発生する可能性があります。

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-45288

GCP-2024-021

公開日: 2024 年 4 月 3 日

説明

説明	重大度	メモ
Compute Engine は CVE-2024-3094 の影響を受けません。これは、liblzma ライブラリの xz-utils パッケージのバージョン 5.6.0 と 5.6.1 に影響します。これにより、OpenSSH ユーティリティが侵害されるおそれがあります。詳細については、Compute Engine のセキュリティに関する公開情報をご覧ください。	中	CVE-2024-3094

重大度

メモ

Compute Engine は CVE-2024-3094 の影響を受けません。これは、liblzma ライブラリの xz-utils パッケージのバージョン 5.6.0 と 5.6.1 に影響します。これにより、OpenSSH ユーティリティが侵害されるおそれがあります。

詳細については、Compute Engine のセキュリティに関する公開情報をご覧ください。

中

CVE-2024-3094

GCP-2024-020

公開日: 2024 年 4 月 2 日

説明

説明	重大度	メモ
研究者が Ray に脆弱性（CVE-2023-48022）があることを発見しました。Ray は AI ワークロード用のサードパーティのオープンソースツールです。Ray は認証を必要としないため、脅威アクターは、公開されているインスタンスにジョブを送信して、リモートコード実行を実現できます。この脆弱性は、Ray のデベロッパーである Anyscale によって異議申し立てが行われました。Ray は、その機能が意図したコアプロダクト機能であると維持されています。セキュリティは、Ray クラスタの意図しないネットワーク公開によって侵害される可能性があるため、代わりに Ray クラスタの外部で実装する必要があります。レスポンスに基づいて、この CVE は異議を申し立てられ、脆弱性スキャナに表示されない可能性があります。いずれにしても、実際に悪用されていることから、ユーザーは次のように使用を構成する必要があります。必要な対策信頼できるネットワークで信頼できるコードを実行するなど、Ray のベストプラクティスとガイドラインに沿って、Ray ワークロードを保護します。お客様のクラウドインスタンスへの ray.io のデプロイは、共有責任モデルに分類されます。 Google Kubernetes Engine（GKE）のセキュリティは、GKE での Ray の強化に関するブログを公開しています。 Ray サービスに認証と承認を追加する方法については、Identity-Aware Proxy（IAP）のドキュメントをご覧ください。GKE ユーザーは、このガイダンスに従うか、ブログにリンクされた Terraform モジュールを再利用することで、IAP を実装できます。	高	CVE-2023-48022

重大度

メモ

研究者が Ray に脆弱性（CVE-2023-48022）があることを発見しました。Ray は AI ワークロード用のサードパーティのオープンソースツールです。Ray は認証を必要としないため、脅威アクターは、公開されているインスタンスにジョブを送信して、リモートコード実行を実現できます。この脆弱性は、Ray のデベロッパーである Anyscale によって異議申し立てが行われました。Ray は、その機能が意図したコアプロダクト機能であると維持されています。セキュリティは、Ray クラスタの意図しないネットワーク公開によって侵害される可能性があるため、代わりに Ray クラスタの外部で実装する必要があります。

レスポンスに基づいて、この CVE は異議を申し立てられ、脆弱性スキャナに表示されない可能性があります。いずれにしても、実際に悪用されていることから、ユーザーは次のように使用を構成する必要があります。

必要な対策

信頼できるネットワークで信頼できるコードを実行するなど、Ray のベストプラクティスとガイドラインに沿って、Ray ワークロードを保護します。お客様のクラウドインスタンスへの ray.io のデプロイは、共有責任モデルに分類されます。

Google Kubernetes Engine（GKE）のセキュリティは、GKE での Ray の強化に関するブログを公開しています。

Ray サービスに認証と承認を追加する方法については、Identity-Aware Proxy（IAP）のドキュメントをご覧ください。GKE ユーザーは、このガイダンスに従うか、ブログにリンクされた Terraform モジュールを再利用することで、IAP を実装できます。

高

CVE-2023-48022

GCP-2024-018

公開日: 2024 年 3 月 12 日

更新日: 2024 年 4 月 4 日

説明

説明	重大度	メモ
2024 年 4 月 4 日更新: GKE Container-Optimized OS ノードプールの最小バージョンを修正しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2024-1085 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2024-1085

重大度

メモ

2024 年 4 月 4 日更新: GKE Container-Optimized OS ノードプールの最小バージョンを修正しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2024-1085

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2024-1085

GCP-2024-017

公開日: 2024 年 3 月 6 日

説明

説明	重大度	メモ
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-3611 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-3611

重大度

メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-3611

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-3611

GCP-2024-016

公開日: 2024 年 3 月 5 日

説明	重大度	メモ
VMware は、VMSA-2024-0006 でお客様の環境にデプロイされた ESXi コンポーネントに影響する複数の脆弱性が開示されました。 Cloud カスタマーケアへの影響セキュリティの脆弱性に対処するため、プライベートクラウドが更新されました。必要な対策お客様側での対応は必要ありません。	重大	VMSA-2024-0006 CVE-2024-22252 CVE-2024-22253 CVE-2024-22254 CVE-2024-22255

説明

重大度

メモ

VMware は、VMSA-2024-0006 でお客様の環境にデプロイされた ESXi コンポーネントに影響する複数の脆弱性が開示されました。

Cloud カスタマーケアへの影響

セキュリティの脆弱性に対処するため、プライベートクラウドが更新されました。

必要な対策

お客様側での対応は必要ありません。

重大

GCP-2024-014

公開日: 2024 年 2 月 26 日

説明

説明	重大度	メモ
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-3776 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-3776

重大度

メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-3776

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-3776

GCP-2024-013

公開日: 2024 年 2 月 27 日

説明

説明	重大度	メモ
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-3610 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-3610

重大度

メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-3610

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-3610

GCP-2024-012

公開日: 2024 年 2 月 20 日

説明

説明	重大度	メモ
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2024-0193 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2024-0193

重大度

メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2024-0193

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2024-0193

GCP-2024-011

公開日: 2024 年 2 月 15 日

説明

説明	重大度	メモ
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-6932 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-6932

重大度

メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-6932

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-6932

GCP-2024-010

公開日: 2024 年 2 月 14 日

更新日時: 2024 年 4 月 17 日

説明

説明	重大度	メモ
2024 年 4 月 17 日更新: GKE on VMware のパッチバージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-6931 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-6931

重大度

メモ

2024 年 4 月 17 日更新: GKE on VMware のパッチバージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-6931

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-6931

GCP-2024-009

公開日: 2024 年 2 月 13 日

説明

説明	重大度	メモ
AMD は 2024 年 2 月 13 日に、第 3 世代「Milan」と第 4 世代「Genoa」の Zen コアをベースにした EPYC CPU 上で SEV-SNP に影響する 2 つの脆弱性を公表しました。この脆弱性により、特権を持つ攻撃者がゲストの古いデータにアクセスしたり、ゲストの完全性を失わせたりする可能性があります。 Google では、Google Cloud を含む関連アセットに修正を適用し、お客様を確実に保護してきました。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。必要な対策お客様による対応は必要ありません。 Compute Engine を含む Google Cloud の Google サーバーフリートには、すでに修正が適用されています。詳細については、AMD セキュリティアドバイザリ AMD-SN-3007 をご覧ください。	中	CVE-2023-31346 CVE-2023-31347

重大度

メモ

AMD は 2024 年 2 月 13 日に、第 3 世代「Milan」と第 4 世代「Genoa」の Zen コアをベースにした EPYC CPU 上で SEV-SNP に影響する 2 つの脆弱性を公表しました。この脆弱性により、特権を持つ攻撃者がゲストの古いデータにアクセスしたり、ゲストの完全性を失わせたりする可能性があります。

Google では、Google Cloud を含む関連アセットに修正を適用し、お客様を確実に保護してきました。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。 Compute Engine を含む Google Cloud の Google サーバーフリートには、すでに修正が適用されています。

詳細については、AMD セキュリティアドバイザリ AMD-SN-3007 をご覧ください。

中

GCP-2024-008

公開: 2024-02-12

説明

説明	重大度	メモ
CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-5528

重大度

メモ

CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-5528

GCP-2024-007

公開: 2024-02-08

説明

説明重大度メモ

説明	重大度	メモ
次の CVE は、Anthos Service Mesh を悪用可能な脆弱性にさらします。 CVE-2024-23322: Envoy がアイドル状態の場合にクラッシュし、バックオフ間隔内で試行がタイムアウトするたびにリクエストが発生する。 CVE-2024-23323: 正規表現を使用して URI テンプレートマッチャーを構成すると、CPU 使用率が極端に大きくなる。 CVE-2024-23324: プロキシプロトコルのフィルタによって無効な UTF-8 メタデータが設定されている場合、外部認証をバイパスできるようになる。 OS でサポートされていないアドレスタイプを使用すると Envoy がクラッシュする。 CVE-2024-23327: コマンドのタイプが `LOCAL` の場合、プロキシプロトコルでクラッシュが発生する。手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。	高	CVE-2024-23322 CVE-2024-23323 CVE-2024-23324 CVE-2024-23325 CVE-2024-23327

次の CVE は、Anthos Service Mesh を悪用可能な脆弱性にさらします。

CVE-2024-23322: Envoy がアイドル状態の場合にクラッシュし、バックオフ間隔内で試行がタイムアウトするたびにリクエストが発生する。
CVE-2024-23323: 正規表現を使用して URI テンプレートマッチャーを構成すると、CPU 使用率が極端に大きくなる。
CVE-2024-23324: プロキシプロトコルのフィルタによって無効な UTF-8 メタデータが設定されている場合、外部認証をバイパスできるようになる。
OS でサポートされていないアドレスタイプを使用すると Envoy がクラッシュする。
CVE-2024-23327: コマンドのタイプが LOCAL の場合、プロキシプロトコルでクラッシュが発生する。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

高

GCP-2024-006

公開日: 2024-02-5

説明

説明	重大度	メモ
Apigee API 管理プロキシがターゲットエンドポイントまたはターゲットサーバーに接続した際に、デフォルトでは、プロキシはターゲットエンドポイントまたはターゲットサーバーによって提示された証明書のホスト名検証を実行しません。次のいずれかのオプションを使用してホスト名検証を有効にしていない場合、ターゲットエンドポイントまたはターゲットサーバーに接続している Apigee プロキシが、承認済みユーザーによる中間者攻撃を受けるリスクがあります。詳細については、Edge からバックエンドへの TLS の構成（Cloud、Private Cloud）をご覧ください。次の Apigee プラットフォームの Apigee プロキシデプロイが影響を受けます。 Apigee Edge for Public Cloud Apigee Edge for Private Cloud 手順と詳細については、Apigee のセキュリティに関する公開情報をご覧ください。	高

重大度

メモ

Apigee API 管理プロキシがターゲットエンドポイントまたはターゲットサーバーに接続した際に、デフォルトでは、プロキシはターゲットエンドポイントまたはターゲットサーバーによって提示された証明書のホスト名検証を実行しません。次のいずれかのオプションを使用してホスト名検証を有効にしていない場合、ターゲットエンドポイントまたはターゲットサーバーに接続している Apigee プロキシが、承認済みユーザーによる中間者攻撃を受けるリスクがあります。詳細については、Edge からバックエンドへの TLS の構成（Cloud、Private Cloud）をご覧ください。

次の Apigee プラットフォームの Apigee プロキシデプロイが影響を受けます。

Apigee Edge for Public Cloud
Apigee Edge for Private Cloud

手順と詳細については、Apigee のセキュリティに関する公開情報をご覧ください。

高

GCP-2024-005

公開日: 2024 年 1 月 31 日
更新日: 2024 年 4 月 2 日

説明

説明重大度メモ

説明	重大度	メモ
2024 年 4 月 2 日更新: GKE on Bare Metal のパッチバージョンを追加しました。 2024 年 3 月 6 日更新: GKE on VMware のパッチバージョンを追加しました。 2024 年 2 月 28 日更新: Ubuntu のパッチバージョンを追加しました。 2024 年 2 月 15 日更新: 2024 年 2 月 14 日の更新で、Ubuntu パッチバージョン 1.25 と 1.26 が原因でノードに異常が発生する可能性があることを明記しました。 2024 年 2 月 14 日更新: Ubuntu のパッチバージョンを追加しました。 2024 年 2 月 6 日更新: Container-Optimized OS のパッチバージョンを追加しました。セキュリティ上の脆弱性 CVE-2024-21626 が `runc` で発見されました。この脆弱性により、Container-Optimized OS ノードと Ubuntu ノードで Pod を作成する権限を持つユーザーが、ノードのファイルシステムへの完全アクセス権を取得できる可能性があります。手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2024-21626

2024 年 4 月 2 日更新: GKE on Bare Metal のパッチバージョンを追加しました。

2024 年 3 月 6 日更新: GKE on VMware のパッチバージョンを追加しました。

2024 年 2 月 28 日更新: Ubuntu のパッチバージョンを追加しました。

2024 年 2 月 15 日更新: 2024 年 2 月 14 日の更新で、Ubuntu パッチバージョン 1.25 と 1.26 が原因でノードに異常が発生する可能性があることを明記しました。

2024 年 2 月 14 日更新: Ubuntu のパッチバージョンを追加しました。

2024 年 2 月 6 日更新: Container-Optimized OS のパッチバージョンを追加しました。

セキュリティ上の脆弱性 CVE-2024-21626 が runc で発見されました。この脆弱性により、Container-Optimized OS ノードと Ubuntu ノードで Pod を作成する権限を持つユーザーが、ノードのファイルシステムへの完全アクセス権を取得できる可能性があります。

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2024-21626

GCP-2024-004

公開日: 2024 年 1 月 24 日
更新日: 2024 年 2 月 7 日

説明

説明	重大度	メモ
2024 年 2 月 7 日更新: Ubuntu のパッチバージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-6817 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-6817

重大度

メモ

2024 年 2 月 7 日更新: Ubuntu のパッチバージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-6817

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-6817

GCP-2024-003

公開日: 2024 年 1 月 19 日
更新日: 2024 年 1 月 26 日

説明

説明重大度メモ

説明	重大度	メモ
2024 年 1 月 26 日更新: 影響を受けたクラスタの数と、その影響を軽減するために Google が行ったアクションを明確にしました。詳細については、GCP-2024-003 のセキュリティに関する公開情報をご覧ください。ユーザーが Google アカウントを持つすべてのユーザーが含まれる `system:authenticated` グループにユーザーが Kubernetes 権限を付与しているクラスタをいくつか特定しました。これらのタイプのバインディングは、最小権限の原則に違反し、大規模なユーザーグループにアクセスを許可するため、推奨されません。これらのタイプのバインディングを見つける方法については、必要な対策のガイダンスをご覧ください。手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報	中

2024 年 1 月 26 日更新: 影響を受けたクラスタの数と、その影響を軽減するために Google が行ったアクションを明確にしました。詳細については、GCP-2024-003 のセキュリティに関する公開情報をご覧ください。

ユーザーが Google アカウントを持つすべてのユーザーが含まれる system:authenticated グループにユーザーが Kubernetes 権限を付与しているクラスタをいくつか特定しました。これらのタイプのバインディングは、最小権限の原則に違反し、大規模なユーザーグループにアクセスを許可するため、推奨されません。これらのタイプのバインディングを見つける方法については、必要な対策のガイダンスをご覧ください。

手順と詳細については、次の公開情報をご覧ください。

GKE のセキュリティに関する公開情報

中

GCP-2024-002

公開日: 2024 年 1 月 17 日

更新日: 2024 年 2 月 20 日

説明

説明	重大度	メモ
2024 年 2 月 20 日更新: GKE on VMware のパッチバージョンを追加しました。 Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-6111 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-6111

重大度

メモ

2024 年 2 月 20 日更新: GKE on VMware のパッチバージョンを追加しました。

Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-6111

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-6111

GCP-2024-001

公開日: 2024 年 1 月 9 日

説明

説明	重大度	メモ
TianoCore EDK II UEFI ファームウェアで複数の脆弱性が見つかりました。このファームウェアは Google Compute Engine VM で使われています。脆弱性が悪用されると、セキュアブートのバイパスが可能になり、Shielded VM で使用される場合を含む、セキュアブートプロセスで誤った測定値になる可能性があります。必要な対策必要なご対応は特にありません。Google は、Compute Engine 全体でこの脆弱性にパッチを適用し、すべての VM を脆弱性から保護しました。このパッチで対処される脆弱性このパッチで緩和された脆弱性は以下のとおりです。 CVE-2022-36763 CVE-2022-36764 CVE-2022-36765	中	CVE-2022-36763 CVE-2022-36764 CVE-2022-36765

重大度

メモ

TianoCore EDK II UEFI ファームウェアで複数の脆弱性が見つかりました。このファームウェアは Google Compute Engine VM で使われています。脆弱性が悪用されると、セキュアブートのバイパスが可能になり、Shielded VM で使用される場合を含む、セキュアブートプロセスで誤った測定値になる可能性があります。

必要な対策

必要なご対応は特にありません。Google は、Compute Engine 全体でこの脆弱性にパッチを適用し、すべての VM を脆弱性から保護しました。

このパッチで対処される脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

CVE-2022-36763
CVE-2022-36764
CVE-2022-36765

中

GCP-2023-051

公開日: 2023 年 12 月 28 日

説明

説明	重大度	メモ
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-3609 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-3609

重大度

メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-3609

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-3609

GCP-2023-050

公開日: 2023 年 12 月 27 日

説明

説明	重大度	メモ
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-3389 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-3389

重大度

メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-3389

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-3389

GCP-2023-049

公開日: 2023 年 12 月 20 日

説明

説明	重大度	メモ
Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-3090 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-3090

重大度

メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-3090

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-3090

GCP-2023-048

公開日: 2023-12-15

最終更新日: 2023 年 12 月 21 日

説明

説明	重大度	メモ
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-3390 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-3390

重大度

メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-3390

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-3390

GCP-2023-047

公開日: 2023-12-14

説明

説明	重大度	メモ
Fluent Bit ロギングコンテナを侵害した攻撃者によって、そのアクセス権を Anthos Service Mesh で必要な高い権限（権限を有効にしたクラスタにおいて）と組み合わせ、クラスタ内の権限を昇格させられる危険性が見つかりました。手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	中

重大度

メモ

Fluent Bit ロギングコンテナを侵害した攻撃者によって、そのアクセス権を Anthos Service Mesh で必要な高い権限（権限を有効にしたクラスタにおいて）と組み合わせ、クラスタ内の権限を昇格させられる危険性が見つかりました。

手順と詳細については、次の公開情報をご覧ください。

中

GCP-2023-046

公開日: 2023 年 11 月 22 日
更新日: 2024 年 3 月 4 日

説明

説明	重大度	メモ
2024 年 3 月 4 日更新: GKE on VMware の GKE バージョンを追加しました。 2024 年 1 月 22 日更新: Ubuntu パッチバージョンを追加しました Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-5717 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 GKE on Bare Metal のセキュリティに関する公開情報	高	CVE-2023-5717

重大度

メモ

2024 年 3 月 4 日更新: GKE on VMware の GKE バージョンを追加しました。

2024 年 1 月 22 日更新: Ubuntu パッチバージョンを追加しました

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-5717

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-5717

GCP-2023-045

公開日: 2023 年 11 月 20 日

最終更新日: 2023 年 12 月 21 日

説明

説明	重大度	メモ
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-5197 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-5197

重大度

メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-5197

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-5197

GCP-2023-044

公開日: 2023 年 11 月 15 日

説明

説明	重大度	メモ
11 月 14 日、AMD はさまざまな AMD サーバーの CPU に影響する複数の脆弱性を公表しました。具体的には、脆弱性は Zen コア第 2 世代「Rome」、第 3 世代「Milan」、第 4 世代「Genoa」を利用した EPYC サーバー CPU に影響します。 Google では、お客様を保護するために、影響を受けるアセット（Google Cloud を含む）に修正を適用しました。現時点では、悪用の証拠は見つからず、Google に報告されません。必要な対策お客様による対応は必要ありません。 Google Compute Engine を含む Google Cloud の Google サーバーフリートには、すでに修正が適用されています。対処されている脆弱性このパッチで緩和された脆弱性は以下のとおりです。 CVE-2022-23820 CVE-2021-46774 CVE-2023-20533 CVE-2023-20519 CVE-2023-20592 CVE-2023-20566 CVE-2023-20521 CVE-2021-46766 CVE-2022-23830 CVE-2023-20526 CVE-2021-26345 詳細については、CacheWarp としても公開されている AMD のセキュリティアドバイザリ AMD-SN-3005: 「AMD INVD Instruction Security Notice」、AMD-SN-3002: 「AMD Server Vulnerabilities – November 2023」をご覧ください。	適度	CVE-2022-23820 CVE-2021-46774 CVE-2023-20533 CVE-2023-20519 CVE-2023-20592 CVE-2023-20566 CVE-2022-23830 CVE-2023-20526 CVE-2021-26345

重大度

メモ

11 月 14 日、AMD はさまざまな AMD サーバーの CPU に影響する複数の脆弱性を公表しました。具体的には、脆弱性は Zen コア第 2 世代「Rome」、第 3 世代「Milan」、第 4 世代「Genoa」を利用した EPYC サーバー CPU に影響します。

Google では、お客様を保護するために、影響を受けるアセット（Google Cloud を含む）に修正を適用しました。現時点では、悪用の証拠は見つからず、Google に報告されません。

必要な対策

お客様による対応は必要ありません。

Google Compute Engine を含む Google Cloud の Google サーバーフリートには、すでに修正が適用されています。

対処されている脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

CVE-2022-23820
CVE-2021-46774
CVE-2023-20533
CVE-2023-20519
CVE-2023-20592
CVE-2023-20566
CVE-2023-20521
CVE-2021-46766
CVE-2022-23830
CVE-2023-20526
CVE-2021-26345

詳細については、CacheWarp としても公開されている AMD のセキュリティアドバイザリ AMD-SN-3005: 「AMD INVD Instruction Security Notice」、AMD-SN-3002: 「AMD Server Vulnerabilities – November 2023」をご覧ください。

適度

GCP-2023-043

公開日: 2023 年 11 月 14 日

説明

説明	重大度	メモ
Intel により、一部のプロセッサで CPU の脆弱性が公表されました。Google では、Google Cloud 向け Google Compute Engine、Chrome OS デバイスなど、サーバーのフリートを軽減する対策を講じ、お客様が保護されるようにしています。脆弱性の詳細: CVE-2023-23583 必要な対策お客様による対応は必要ありません。影響を受けるプロセッサに対して Intel が提供している緩和策は、Google Cloud の Google Compute Engine を含む Google のサーバーフリートに適用されています。現時点では、Google Distributed Cloud Edge は OEM からの更新が必要です。このセキュリティに関する公開情報は、更新が利用可能になり次第、修正を行います。また、この情報も更新されます。影響を受けるプロセッサを搭載した Chrome OS デバイスには、リリース 119、118、114（LTS）の一部として自動的に修正が適用されました。対処されている脆弱性 CVE-2023-23583詳細については、Intel Security Advisory INTEL-SA-00950 をご覧ください。	高	CVE-2023-23583

重大度

メモ

Intel により、一部のプロセッサで CPU の脆弱性が公表されました。Google では、Google Cloud 向け Google Compute Engine、Chrome OS デバイスなど、サーバーのフリートを軽減する対策を講じ、お客様が保護されるようにしています。

脆弱性の詳細:

CVE-2023-23583

必要な対策

お客様による対応は必要ありません。

影響を受けるプロセッサに対して Intel が提供している緩和策は、Google Cloud の Google Compute Engine を含む Google のサーバーフリートに適用されています。

現時点では、Google Distributed Cloud Edge は OEM からの更新が必要です。このセキュリティに関する公開情報は、更新が利用可能になり次第、修正を行います。また、この情報も更新されます。

影響を受けるプロセッサを搭載した Chrome OS デバイスには、リリース 119、118、114（LTS）の一部として自動的に修正が適用されました。

対処されている脆弱性

CVE-2023-23583詳細については、Intel Security Advisory INTEL-SA-00950 をご覧ください。

高

CVE-2023-23583

GCP-2023-042

公開日: 2023 年 11 月 13 日
更新日: 2023 年 11 月 15 日

説明

説明	重大度	メモ
2023 年 11 月 15 日更新: リストされたマイナーバージョンのみ、GKE の対応するパッチ適用済みバージョンにアップグレードする必要があることを明記しました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-4147 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-4147

重大度

メモ

2023 年 11 月 15 日更新: リストされたマイナーバージョンのみ、GKE の対応するパッチ適用済みバージョンにアップグレードする必要があることを明記しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-4147

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-4147

GCP-2023-041

公開日: 2023 年 11 月 8 日

更新日: 2023 年 11 月 21 日、2023 年 12 月 5 日、2023 年 12 月 21 日

説明

説明	重大度	メモ
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。 2023 年 12 月 5 日更新: Container-Optimized OS ノードプールに GKE バージョンを追加しました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナーバージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-4004 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-4004

重大度

メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

2023 年 12 月 5 日更新: Container-Optimized OS ノードプールに GKE バージョンを追加しました。

2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナーバージョンのみであることを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-4004

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-4004

GCP-2023-040

公開日: 2023-11-06

最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明

説明	重大度	メモ
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナーバージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-4921 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-4921

重大度

メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-4921

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-4921

GCP-2023-039

公開日: 2023-11-06

更新日: 2023 年　11 月 21 日、2023 年 11 月 16 日

説明

説明	重大度	メモ
2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナーバージョンのみであることを明確にしました。 2023 年 11 月 16 日更新: このセキュリティに関する公開情報に関連する脆弱性は CVE-2023-4622 です。CVE-2023-4623 は、以前のバージョンのセキュリティに関する公開情報における脆弱性として誤ってリストされました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-4623 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-4622

重大度

メモ

2023 年 11 月 16 日更新: このセキュリティに関する公開情報に関連する脆弱性は CVE-2023-4622 です。CVE-2023-4623 は、以前のバージョンのセキュリティに関する公開情報における脆弱性として誤ってリストされました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-4623

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-4622

GCP-2023-038

公開日: 2023-11-06

最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明

説明	重大度	メモ
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナーバージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-4623 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-4623

重大度

メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-4623

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-4623

GCP-2023-037

公開日: 2023-11-06

最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明

説明	重大度	メモ
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナーバージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-4015 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-4015

重大度

メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-4015

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-4015

GCP-2023-036

公開: 2023 年 10 月 30 日

説明

説明	重大度	注
Deep Learning VM Image は、初期設定の状態で実行できるディープラーニングフレームワークを含むパッケージ化された仮想マシンイメージのセットです。最近、「libwebp」ライブラリの「ReadHuffmanCodes()」関数で範囲外書き込みの脆弱性が発見されました。このライブラリを使用するイメージに影響する可能性があります。 Google Cloud は、一般公開されているイメージを継続的にスキャンし、パッケージを更新して、お客様が利用可能な最新リリースにパッチ適用済みのディストリビューションが含まれるようにしています。Deep Learning VM Image が更新され、最新の VM イメージにパッチ適用済みのディストリビューションが含まれるようになりました。最新の VM イメージを採用しているお客様は、この脆弱性の影響を受けません。必要な対策公開されている VM イメージを使用する Google Cloud のお客様は、最新のイメージを採用し、共有責任モデルに従って自社の環境が最新であることを確認する必要があります。 CVE-2023-4863 を攻撃者が悪用して任意のコードを実行するおそれがあります。この脆弱性は、Google Chrome 116.0.5845.187 より前のバージョンと libwebp 1.3.2 より前のバージョンで特定されており、CVE-2023-4863 に記載されています。	高	CVE-2023-4863

重大度

注

Deep Learning VM Image は、初期設定の状態で実行できるディープラーニングフレームワークを含むパッケージ化された仮想マシンイメージのセットです。最近、「libwebp」ライブラリの「ReadHuffmanCodes()」関数で範囲外書き込みの脆弱性が発見されました。このライブラリを使用するイメージに影響する可能性があります。

Google Cloud は、一般公開されているイメージを継続的にスキャンし、パッケージを更新して、お客様が利用可能な最新リリースにパッチ適用済みのディストリビューションが含まれるようにしています。Deep Learning VM Image が更新され、最新の VM イメージにパッチ適用済みのディストリビューションが含まれるようになりました。最新の VM イメージを採用しているお客様は、この脆弱性の影響を受けません。

必要な対策

公開されている VM イメージを使用する Google Cloud のお客様は、最新のイメージを採用し、共有責任モデルに従って自社の環境が最新であることを確認する必要があります。

CVE-2023-4863 を攻撃者が悪用して任意のコードを実行するおそれがあります。この脆弱性は、Google Chrome 116.0.5845.187 より前のバージョンと libwebp 1.3.2 より前のバージョンで特定されており、CVE-2023-4863 に記載されています。

高

CVE-2023-4863

GCP-2023-035

公開日: 2023 年 10 月 26 日

最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明

説明	重大度	メモ
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナーバージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-4206 CVE-2023-4207 CVE-2023-4208 CVE-2023-4128 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-4206、CVE-2023-4207、CVE-2023-4208、CVE-2023-4128

重大度

メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-4206
CVE-2023-4207
CVE-2023-4208
CVE-2023-4128

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-4206、CVE-2023-4207、CVE-2023-4208、CVE-2023-4128

GCP-2023-034

公開日: 2023 年 10 月 25 日

最終更新日: 2023 年 10 月 27 日

説明

説明	重大度	メモ
VMware は、お客様の環境にデプロイされた vCenter コンポーネントに影響する VMSA-2023-0023 に複数の脆弱性を公表しました。 Cloud カスタマーケアへの影響この脆弱性は、vCenter Server の特定のポートにアクセスすることで悪用される可能性があります。これらのポートは公共のインターネットに公開されません。 vCenter ポート 2012/tcp、2014/tcp、2020/tcp に信頼できないシステムからアクセスできない場合、この脆弱性の影響を受けません。 Google では、vCenter Server の脆弱なポートをすでにブロックしており、この脆弱性の悪用を防ぎます。さらに、Google は今後 vCenter Server のすべてのデプロイがこの脆弱性にさらされないようにします。この情報の時点では、VMware は「実際」の悪用については認識していません。詳細については、VMware のドキュメントをご覧ください。必要な対策現時点ではこれ以上のご対応は必要ございません。	重大	CVE-2023-34048、CVE-2023-34056

重大度

メモ

VMware は、お客様の環境にデプロイされた vCenter コンポーネントに影響する VMSA-2023-0023 に複数の脆弱性を公表しました。

Cloud カスタマーケアへの影響

この脆弱性は、vCenter Server の特定のポートにアクセスすることで悪用される可能性があります。これらのポートは公共のインターネットに公開されません。
vCenter ポート 2012/tcp、2014/tcp、2020/tcp に信頼できないシステムからアクセスできない場合、この脆弱性の影響を受けません。
Google では、vCenter Server の脆弱なポートをすでにブロックしており、この脆弱性の悪用を防ぎます。
さらに、Google は今後 vCenter Server のすべてのデプロイがこの脆弱性にさらされないようにします。
この情報の時点では、VMware は「実際」の悪用については認識していません。詳細については、VMware のドキュメントをご覧ください。

必要な対策

現時点ではこれ以上のご対応は必要ございません。

重大

CVE-2023-34048、CVE-2023-34056

GCP-2023-033

公開日: 2023 年 10 月 24 日

最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明

説明	重大度	メモ
2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けず、GKE Sandbox ワークロードは影響を受けないことを明記しました。 2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナーバージョンのみであることを明確にしました。 Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。 CVE-2023-3777 手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-3777

重大度

メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けず、GKE Sandbox ワークロードは影響を受けないことを明記しました。

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

CVE-2023-3777

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-3777

GCP-2023-032

公開日: 2023 年 10 月 13 日

更新日時: 2023 年 11 月 3 日

説明

説明	重大度	メモ
2023 年 11 月 3 日更新: Apigee Edge for Private Cloud の既知の問題を追加しました。先ごろ、サービス拒否攻撃（DoS）の脆弱性が HTTP/2 プロトコルの複数の実装で発見されました（CVE-2023-44487）。これには、Apigee X と Apigee ハイブリッドで使用されている Apigee Ingress（Anthos Service Mesh）サービスも含まれます。この脆弱性により、Apigee API 管理機能の DoS が発生する可能性があります。手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。	高	CVE-2023-44487

重大度

メモ

2023 年 11 月 3 日更新: Apigee Edge for Private Cloud の既知の問題を追加しました。

先ごろ、サービス拒否攻撃（DoS）の脆弱性が HTTP/2 プロトコルの複数の実装で発見されました（CVE-2023-44487）。これには、Apigee X と Apigee ハイブリッドで使用されている Apigee Ingress（Anthos Service Mesh）サービスも含まれます。この脆弱性により、Apigee API 管理機能の DoS が発生する可能性があります。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

高

CVE-2023-44487

GCP-2023-031

公開日: 2023 年 10 月 10 日

説明

説明	重大度	メモ
HTTP/2 プロトコルを使用している場合、データプレーンがサービス拒否攻撃の影響を受ける可能性があります。手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。	高	CVE-2023-44487

GCP-2023-030

公開日: 2023 年 10 月 10 日

更新日時: 2024 年 3 月 20 日

説明

説明	重大度	メモ
2024 年 3 月 20 日更新: CVE-2023-44487 に対する最新のパッチを含む GKE on AWS と GKE on Azure のパッチバージョンを追加しました。 2024 年 2 月 14 日更新: GKE on VMware のパッチバージョンを追加しました。 2023 年 11 月 9 日更新: CVE-2023-39325 を追加しました。CVE-2023-44487 と CVE-2023-39325 の最新のパッチで GKE バージョンを更新しました。先ごろ、サービス拒否攻撃（DoS）の脆弱性が HTTP/2 プロトコル（CVE-2023-44487）の複数の実装で発見されました（CVE-2023-44487）。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine（GKE）コントロールプレーンの DoS が発生する可能性があります。承認済みネットワークが構成されている GKE クラスタはネットワークアクセスを制限することで保護されますが、他のすべてのクラスタは影響を受けます。手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-44487、 CVE-2023-39325

重大度

メモ

2024 年 3 月 20 日更新: CVE-2023-44487 に対する最新のパッチを含む GKE on AWS と GKE on Azure のパッチバージョンを追加しました。

2024 年 2 月 14 日更新: GKE on VMware のパッチバージョンを追加しました。

2023 年 11 月 9 日更新: CVE-2023-39325 を追加しました。CVE-2023-44487 と CVE-2023-39325 の最新のパッチで GKE バージョンを更新しました。

先ごろ、サービス拒否攻撃（DoS）の脆弱性が HTTP/2 プロトコル（CVE-2023-44487）の複数の実装で発見されました（CVE-2023-44487）。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine（GKE）コントロールプレーンの DoS が発生する可能性があります。承認済みネットワークが構成されている GKE クラスタはネットワークアクセスを制限することで保護されますが、他のすべてのクラスタは影響を受けます。

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-44487、 CVE-2023-39325

GCP-2023-029

公開: 2023 年 10 月 3 日

説明

説明重大度注

説明	重大度	注
TorchServe は、オンライン予測用に PyTorch の ML モデルをホストするために使用されます。Vertex AI は、TorchServe に依存するビルド済みの PyTorch モデルサービングコンテナを提供します。先ごろ、TorchServe の脆弱性が発見されました。この脆弱性により、TorchServe デプロイメントのモデル管理 API を公開すると、デプロイメントが攻撃者に乗っ取られる可能性があります。Vertex AI は TorchServe のモデル管理 API を公開しないため、Vertex AI Online Prediction で PyTorch モデルをデプロイしているお客様は、この脆弱性の影響を受けません。Vertex AI の外部で TorchServe を使用しているお客様は、デプロイメントが安全に設定されるように予防措置を講じる必要があります。必要な対策 Vertex AI で、Vertex AI のビルド済み PyTorch サービングコンテナを使用してモデルをデプロイしている場合は、Vertex AI のデプロイメントは TorchServe の管理サーバーをインターネットに公開しないため、脆弱性に対処するために必要な操作はありません。ビルド済みの PyTorch コンテナを他のコンテキストで使用している場合、またはカスタムビルドの PyTorch またはサードパーティディストリビューションの TorchServe を使用している場合は、次のことを行う必要があります。 TorchServe のモデル管理 API がインターネットに公開されないようにします。モデル管理 API をローカルアクセスに制限するには、`management_address` を `127.0.0.1` にバインドする必要があります。目的のソースからのみモデルを読み込むようにするには、`allowed_urls` 設定を使用します。できるだけ早く TorchServe をバージョン 0.8.2 にアップグレードしてください。このバージョンには、この問題の軽減策が含まれています。予防措置として、Vertex AI は 2023 年 10 月 13 日までに修正済みのビルド済みコンテナをリリースする予定です。対処されている脆弱性 Vertex AI によってリリースされるものを含むほとんどの TorchServe Docker イメージで、TorchServe の管理 API はデフォルトで `0.0.0.0` にバインドされ、外部リクエストからアクセス可能な状態になっています。TorchServe 0.8.2 では管理 API のデフォルトの IP アドレスが `127.0.0.1` に変更され、この問題は解決されました。 CVE-2023-43654 と CVE-2022-1471 の脆弱性により、管理 API にアクセスできるユーザーが任意のソースからモデルを読み込み、リモートからコードを実行することができます。TorchServe 0.8.2 には、この両方の問題を解決する機能が含まれています。リモートコード実行パスが削除され、`allowed_urls` のデフォルト値を使用すると警告が出ます。	高	CVE-2023-43654, CVE-2022-1471

TorchServe は、オンライン予測用に PyTorch の ML モデルをホストするために使用されます。Vertex AI は、TorchServe に依存するビルド済みの PyTorch モデルサービングコンテナを提供します。先ごろ、TorchServe の脆弱性が発見されました。この脆弱性により、TorchServe デプロイメントのモデル管理 API を公開すると、デプロイメントが攻撃者に乗っ取られる可能性があります。Vertex AI は TorchServe のモデル管理 API を公開しないため、Vertex AI Online Prediction で PyTorch モデルをデプロイしているお客様は、この脆弱性の影響を受けません。Vertex AI の外部で TorchServe を使用しているお客様は、デプロイメントが安全に設定されるように予防措置を講じる必要があります。

必要な対策

Vertex AI で、Vertex AI のビルド済み PyTorch サービングコンテナを使用してモデルをデプロイしている場合は、Vertex AI のデプロイメントは TorchServe の管理サーバーをインターネットに公開しないため、脆弱性に対処するために必要な操作はありません。

ビルド済みの PyTorch コンテナを他のコンテキストで使用している場合、またはカスタムビルドの PyTorch またはサードパーティディストリビューションの TorchServe を使用している場合は、次のことを行う必要があります。

TorchServe のモデル管理 API がインターネットに公開されないようにします。モデル管理 API をローカルアクセスに制限するには、management_address を 127.0.0.1 にバインドする必要があります。
目的のソースからのみモデルを読み込むようにするには、allowed_urls 設定を使用します。
できるだけ早く TorchServe をバージョン 0.8.2 にアップグレードしてください。このバージョンには、この問題の軽減策が含まれています。予防措置として、Vertex AI は 2023 年 10 月 13 日までに修正済みのビルド済みコンテナをリリースする予定です。

対処されている脆弱性

Vertex AI によってリリースされるものを含むほとんどの TorchServe Docker イメージで、TorchServe の管理 API はデフォルトで 0.0.0.0 にバインドされ、外部リクエストからアクセス可能な状態になっています。TorchServe 0.8.2 では管理 API のデフォルトの IP アドレスが 127.0.0.1 に変更され、この問題は解決されました。

CVE-2023-43654 と CVE-2022-1471 の脆弱性により、管理 API にアクセスできるユーザーが任意のソースからモデルを読み込み、リモートからコードを実行することができます。TorchServe 0.8.2 には、この両方の問題を解決する機能が含まれています。リモートコード実行パスが削除され、allowed_urls のデフォルト値を使用すると警告が出ます。

高

CVE-2023-43654, CVE-2022-1471

GCP-2023-028

公開日: 2023 年 9 月 19 日

説明

説明	重大度	メモ
お客様は、取り込みフィードを使用してお客様所有の Cloud Storage バケットからデータを取り込むように Chronicle を構成できます。Chronicle では最近まで共有サービスアカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。ひとつのお客様の Chronicle インスタンスが、別のお客様の Cloud Storage バケットからデータを取り込むように構成できてしまうという可能性が存在していました。影響分析を実行したところ、この脆弱性は過去にも現在にも悪用されていることが確認されていません。この脆弱性は、2023 年 9 月 19 日より前の Chronicle のすべてのバージョンに存在していました。必要な対策 2023 年 9 月 19 日時点で、Chronicle はこの脆弱性に対処するように更新されています。お客様による対応は必要ありません。対処されている脆弱性 Chronicle では以前は共有サービスアカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。複数のお客様が、同一の Chronicle サービスアカウントへのアクセス権を各自のバケットに付与していたため、フィードが作成または変更されたときに、ひとつのお客様のフィードが別のお客様のバケットにアクセスできるという悪用ベクトルが存在していました。この悪用ベクトルには、バケット URI に関する知識が必要でした。現在、フィードの作成時または変更時には、Chronicle はお客様ごとに一意のサービスアカウントを使用します。	高

重大度

メモ

お客様は、取り込みフィードを使用してお客様所有の Cloud Storage バケットからデータを取り込むように Chronicle を構成できます。Chronicle では最近まで共有サービスアカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。ひとつのお客様の Chronicle インスタンスが、別のお客様の Cloud Storage バケットからデータを取り込むように構成できてしまうという可能性が存在していました。影響分析を実行したところ、この脆弱性は過去にも現在にも悪用されていることが確認されていません。この脆弱性は、2023 年 9 月 19 日より前の Chronicle のすべてのバージョンに存在していました。

必要な対策

2023 年 9 月 19 日時点で、Chronicle はこの脆弱性に対処するように更新されています。お客様による対応は必要ありません。

対処されている脆弱性

Chronicle では以前は共有サービスアカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。複数のお客様が、同一の Chronicle サービスアカウントへのアクセス権を各自のバケットに付与していたため、フィードが作成または変更されたときに、ひとつのお客様のフィードが別のお客様のバケットにアクセスできるという悪用ベクトルが存在していました。この悪用ベクトルには、バケット URI に関する知識が必要でした。現在、フィードの作成時または変更時には、Chronicle はお客様ごとに一意のサービスアカウントを使用します。

高

GCP-2023-027

公開日: 2023-09-11

説明	重大度	注
VMware vCenter Server の更新により、複数のメモリ破損の脆弱性（CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896）に対処カスタマーケアへの影響 VMware vCenter Server（vCenter Server）と VMware Cloud Foundation（Cloud Foundation）。必要な対策お客様には影響がないため、ご対応は不要です。	中	CVE-2023-20893

説明

重大度

注

VMware vCenter Server の更新により、複数のメモリ破損の脆弱性（CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896）に対処

カスタマーケアへの影響

VMware vCenter Server（vCenter Server）と VMware Cloud Foundation（Cloud Foundation）。

必要な対策

お客様には影響がないため、ご対応は不要です。

中

CVE-2023-20893

GCP-2023-026

公開日: 2023 年 9 月 6 日

説明

説明	重大度	メモ
Kubernetes で 3 つの脆弱性（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893）が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Kubelet と Kubernetes CSI プロキシの Windows バージョンに影響します。手順と詳細については、次の公開情報をご覧ください。 GKE のセキュリティに関する公開情報 GKE on VMware のセキュリティに関する公開情報 AWS 上の GKE のセキュリティ情報 GKE on Azure のセキュリティに関する公開情報 Google Distributed Cloud Virtual for Bare Metal のセキュリティに関する公開情報	高	CVE-2023-3676、 CVE-2023-3955、 CVE-2023-3893

重大度

メモ

Kubernetes で 3 つの脆弱性（CVE-2023-3676、CVE-2023-3955、CVE-2023-3893）が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Kubelet と Kubernetes CSI プロキシの Windows バージョンに影響します。

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-3676、 CVE-2023-3955、 CVE-2023-3893

GCP-2023-025

公開日: 2023-08-08

説明	重大度	注
Intel は最近、プロセッサファミリーの一部に影響する Intel Security Advisory INTEL-SA-00828 を発表しました。アドバイザリに基づいてリスクを評価することをおすすめします。 Google Cloud VMware Engine への影響 Google のフリートは、影響を受けるプロセッサファミリーを利用しています。Google のデプロイモデルではサーバー全体が 1 人のユーザー専用であるため、この脆弱性の評価で追加のリスクは発生しません。 Google はパートナーと協力して必要なパッチを入手しており、今後数週間のうちに標準のアップグレードプロセスを使用して、これらのパッチをフリート全体に優先的にデプロイする予定です。必要な対策影響を受けるすべてのシステムを Google がアップグレードするため、お客様側での対応は不要です。	高	CVE-2022-40982

説明

重大度

注

Intel は最近、プロセッサファミリーの一部に影響する Intel Security Advisory INTEL-SA-00828 を発表しました。アドバイザリに基づいてリスクを評価することをおすすめします。

Google Cloud VMware Engine への影響

Google のフリートは、影響を受けるプロセッサファミリーを利用しています。Google のデプロイモデルではサーバー全体が 1 人のユーザー専用であるため、この脆弱性の評価で追加のリスクは発生しません。

Google はパートナーと協力して必要なパッチを入手しており、今後数週間のうちに標準のアップグレードプロセスを使用して、これらのパッチをフリート全体に優先的にデプロイする予定です。

必要な対策

影響を受けるすべてのシステムを Google がアップグレードするため、お客様側での対応は不要です。

高

CVE-2022-40982

GCP-2023-024

公開日: 2023 年 8 月 8 日

最終更新日: 2023 年 8 月 10 日

説明

説明	重大度	メモ
2023 年 8 月 10 日更新: ChromeOS LTS のバージョン番号を追加しました。 Intel が一部のプロセッサの脆弱性（CVE-2022-40982）を公表しました。Google では、Google Cloud を含むサーバーフリートを軽減して、お客様を確実に保護するための対策を講じています。脆弱性の詳細: CVE-2022-40982（Intel IPU 2023.3、「GDS」、別名「Downfall」）必要な対策お客様による対応は必要ありません。利用可能なすべてのパッチは、Google Compute Engine を含む Google Cloud の Google サーバーフリートにすでに適用されています。現在、以下のプロダクトではパートナーとベンダーによる更新が必要になります。 Google Cloud VMware Engine Google Distributed Cloud Hosted Google Distributed Cloud Edge Google Cloud BMS Evolved Packet Core Google は、これらのパッチが公開され次第これらのプロダクトを修正し、このセキュリティ情報を更新する予定です。 Google Chromebook と ChromeOS Flex のお客様は、Intel の　Stable（115）、LTS（108）、Beta（116）、LTC（114）で緩和策を自動的に受け取りました。古いリリースに固定された Chromebook と ChromeOS Flex のお客様は、固定を解除して Stable または LTS 版リリースに移行して、この脆弱性や他の脆弱性の修正を適用することを検討してください。対処されている脆弱性 CVE-2022-40982 - 詳細については、Intel Security Advisory INTEL-SA-00828 をご覧ください。	高	CVE-2022-40982

重大度

メモ

2023 年 8 月 10 日更新: ChromeOS LTS のバージョン番号を追加しました。

Intel が一部のプロセッサの脆弱性（CVE-2022-40982）を公表しました。Google では、Google Cloud を含むサーバーフリートを軽減して、お客様を確実に保護するための対策を講じています。

脆弱性の詳細:

CVE-2022-40982（Intel IPU 2023.3、「GDS」、別名「Downfall」）

必要な対策

お客様による対応は必要ありません。

利用可能なすべてのパッチは、Google Compute Engine を含む Google Cloud の Google サーバーフリートにすでに適用されています。

現在、以下のプロダクトではパートナーとベンダーによる更新が必要になります。

Google Cloud VMware Engine
Google Distributed Cloud Hosted
Google Distributed Cloud Edge
Google Cloud BMS
Evolved Packet Core

Google は、これらのパッチが公開され次第これらのプロダクトを修正し、このセキュリティ情報を更新する予定です。

Google Chromebook と ChromeOS Flex のお客様は、Intel の　Stable（115）、LTS（108）、Beta（116）、LTC（114）で緩和策を自動的に受け取りました。古いリリースに固定された Chromebook と ChromeOS Flex のお客様は、固定を解除して Stable または LTS 版リリースに移行して、この脆弱性や他の脆弱性の修正を適用することを検討してください。

対処されている脆弱性

CVE-2022-40982 - 詳細については、Intel Security Advisory INTEL-SA-00828 をご覧ください。

高

CVE-2022-40982

GCP-2023-023

公開日: 2023 年 8 月 8 日

説明

説明	重大度	メモ
AMD は一部のプロセッサの脆弱性（CVE-2023-20569）を公表しました。Google では、Google Cloud を含むサーバーフリートを軽減して、お客様を確実に保護するための対策を講じています。脆弱性の詳細: CVE-2023-20569（AMD SB-7005、別名「Inception」）必要な対策 Compute Engine VM のユーザーは、インスタンス内で信頼できないコード実行を使用する場合に、OS が提供する緩和策を検討する必要があります。具体的なガイダンスについては、OS ベンダーに問い合わせることをおすすめします。 Google Compute Engine を含む Google Cloud の Google サーバーフリートには、すでに修正が適用されています。対処されている脆弱性 CVE-2023-20569 - 詳細については、AMD SB-7005 をご覧ください。	適度	CVE-2023-20569

重大度

メモ

AMD は一部のプロセッサの脆弱性（CVE-2023-20569）を公表しました。Google では、Google Cloud を含むサーバーフリートを軽減して、お客様を確実に保護するための対策を講じています。

脆弱性の詳細:

CVE-2023-20569（AMD SB-7005、別名「Inception」）

必要な対策

Compute Engine VM のユーザーは、インスタンス内で信頼できないコード実行を使用する場合に、OS が提供する緩和策を検討する必要があります。具体的なガイダンスについては、OS ベンダーに問い合わせることをおすすめします。

Google Compute Engine を含む Google Cloud の Google サーバーフリートには、すでに修正が適用されています。

対処されている脆弱性

CVE-2023-20569 - 詳細については、AMD SB-7005 をご覧ください。

適度

CVE-2023-20569

GCP-2023-022

公開日: 2023 年 8 月 3 日

説明

説明	重大度	メモ
gRPC C++ の 1.57 リリースに先立ち、gRPC C++ の実装に脆弱性が見つかりました。これは、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性であり、これらの脆弱性は、1.53.2、1.54.3、1.55.2、1.56.2、1.57 のリリースで修正されています。必要な対策次のソフトウェアパッケージの最新バージョンを使用していることをご確認ください。 gRPC（C++、Python、Ruby）バージョン 1.53、1.54、1.55、1.56 を、以下のパッチリリースにアップグレードしてください。 1.53.2 1.54.3 1.55.2 1.56.2 gRPC（C++、Python、Ruby）1.52 以前のバージョンは、承認済みのパッチリリース（（1.53.2、1.54.3、1.53.4 など）のいずれかにアップグレードする必要があります。対処されている脆弱性これらのパッチで緩和される脆弱性は以下のとおりです。 gRPC C++ の実装におけるサービス拒否攻撃の脆弱性: 特別に作成されたリクエストによって、プロキシとバックエンド間の接続が停止する可能性があります。	高	CVE-2023-33953

重大度

メモ

gRPC C++ の 1.57 リリースに先立ち、gRPC C++ の実装に脆弱性が見つかりました。これは、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性であり、これらの脆弱性は、1.53.2、1.54.3、1.55.2、1.56.2、1.57 のリリースで修正されています。

必要な対策

次のソフトウェアパッケージの最新バージョンを使用していることをご確認ください。

gRPC（C++、Python、Ruby）バージョン 1.53、1.54、1.55、1.56 を、以下のパッチリリースにアップグレードしてください。

1.53.2
1.54.3
1.55.2
1.56.2

gRPC（C++、Python、Ruby）1.52 以前のバージョンは、承認済みのパッチリリース（（1.53.2、1.54.3、1.53.4 など）のいずれかにアップグレードする必要があります。

対処されている脆弱性

これらのパッチで緩和される脆弱性は以下のとおりです。

gRPC C++ の実装におけるサービス拒否攻撃の脆弱性: 特別に作成されたリクエストによって、プロキシとバックエンド間の接続が停止する可能性があります。

高

CVE-2023-33953

GCP-2023-021

最終更新日: 2023 年 7 月 26 日

公開日: 2023 年 7 月 25 日

説明

説明重大度メモ

次の CVE は、Anthos Service Mesh を悪用可能な脆弱性にさらします。

CVE-2023-35941: 悪意のあるクライアントが、特定のシナリオで永続的な認証情報を使用して認証情報を作成することが可能です。たとえば、HMAC ペイロードのホストと有効期限の組み合わせが、OAuth2 フィルタの HMAC チェックで常に有効になる可能性があります。
CVE-2023-35942: リスナーのグローバルスコープを使用する gRPC アクセスロガーにより、リスナーがドレインされたときに use-after-free クラッシュが発生する可能性があります。これは、同じ gRPC アクセスログ構成の LDS 更新によってトリガーされる可能性があります。
CVE-2023-35943: origin ヘッダーが request_headers_to_remove: origin で削除されるように構成されている場合、CORS フィルタが segfault になり Envoy がクラッシュします。
CVE-2023-35944: 攻撃者が混合スキームのリクエストを送信して、Envoy のスキームチェックをバイパスできます。たとえば、混合スキームの HTTP を含むリクエストが OAuth2 フィルタに送信された場合、HTTP の完全一致チェックに失敗し、スキームが HTTPS であるとリモートエンドポイントに通知されるため、HTTP リクエストに固有の OAuth2 チェックがバイパスされる可能性があります。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

高

GCP-2023-020

最終更新日: 2023 年 7 月 26 日

公開日: 2023 年 7 月 24 日

説明

重大度

メモ

AMD は、ハードウェアのセキュリティ脆弱性（CVE-2023-20593）に対処するマイクロコードアップデートをリリースしました。Google では、この脆弱性に必要な修正を Google Cloud Platform のサーバーを含むサーバーフリートに適用しました。テストでは、システムのパフォーマンスに影響がないことを示しています。

必要な対策

公開日: 2023 年 6 月 26 日

最終更新日: 2023 年 7 月 11 日

説明

重大度

重大度

メモ

2023 年 8 月 11 日更新: GKE on VMware、GKE on AWS、GKE on Azure、Google Distributed Cloud Virtual for Bare Metal のパッチバージョンを追加しました。

Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラルコンテナとともに ImagePolicyWebhook（CVE-2023-2727）または ServiceAccount アドミッションプラグイン（CVE-2023-2728）のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。

手順と詳細については、次の公開情報をご覧ください。

中

CVE-2023-2727、CVE-2023-2728

GCP-2023-013

公開日: 2023 年 6 月 8 日

説明

説明重大度メモ

プロジェクトで Cloud Build API を有効にすると、Cloud Build はユーザーに代わってビルドを実行するデフォルトのサービスアカウントを自動的に作成します。この Cloud Build サービスアカウントには、以前は logging.privateLogEntries.list IAM 権限が付与されていました。これにより、ビルドはデフォルトでプライベートログを一覧表示することができました。最小権限のセキュリティ原則を遵守するため、Cloud Build サービスアカウントからこの権限が取り消されました。

手順と詳細については、Cloud Build のセキュリティに関する公開情報をご覧ください。

低

GCP-2023-010

公開日: 2023　年　6　月　7　日

説明

重大度

メモ

Google は、gRPC C ++ 実装に 3 つの新しい脆弱性があることを突き止めました。これらは CVE-2023-1428、CVE-2023-32731、CVE-2023-32732 としてまもなく公開されます。

4 月に、1.53 および 1.54 リリースで 2 点の脆弱性が見つかりました。1 つ目は、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性です。2 つ目は、リモートデータの引き出しの脆弱性です。これらの脆弱性は、1.53.1、1.54.2 およびそれ以降のリリースで修正されています。

以前 3 月に、Google 内部のチームがルーティンのファジングを実行中に、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性を発見しました。この脆弱性は gRPC 1.52 リリースで見つかり、1.52.2 および 1.53 リリースで修正されています。

必要な対策

次のソフトウェアパッケージの最新バージョンを使用していることをご確認ください。

grpc（C++、Python、Ruby）バージョン 1.52、1.53、1.54 は以下のパッチリリースにアップグレードする必要があります。

1.52.2
1.53.1
1.54.2

grpc（C++、Python、Ruby）バージョン 1.51 以前は影響を受けないため、これらのバージョンを使用しているユーザーは操作を行うことはできません。

これらのパッチで対処される脆弱性

これらのパッチで緩和される脆弱性は以下のとおりです。

1.53.1、1.54.2 およびそれ以降のリリースは、次の脆弱性に対処しています。gRPC C++ の実装におけるサービス拒否攻撃の脆弱性。特別に作成されたリクエストによって、プロキシとバックエンド間の接続が停止する可能性があります。リモートデータの引き出しの脆弱性: ヘッダーサイズの制限に起因する HPACK テーブルの非同期化によって、プロキシバックエンドが、プロキシに接続した他のクライアントのヘッダーデータを流出させる可能性があります。
1.52.2、1.53、およびそれ以降のリリースは、次の脆弱性に対処しています。gRPC C++ の実装におけるサービス拒否攻撃の脆弱性: 特殊な形式のリクエストを解析すると、サーバーに影響を与えるクラッシュが発生する可能性があります。

手順と詳細については、Cloud SQL のセキュリティに関する公開情報をご覧ください。

高

GCP-2023-005

公開日: 2023 年 5 月 18 日

最終更新日: 2023 年 6 月 6 日

説明

重大度

メモ

2023 年 6 月 6 日更新: 新しい GKE バージョンが更新され、CVE-2023-1281 と CVE-2023-1829 にパッチを適用する最新の Ubuntu バージョンが追加されました。

Linux カーネルで 2 つの新しい脆弱性（CVE-2023-1281、CVE-2023-1829）が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-1281 CVE-2023-1829

GCP-2023-004

公開日: 2023 年 4 月 26 日

説明

重大度

メモ

トラステッドプラットフォームモジュール（TPM）2.0 で 2 つの脆弱性（CVE-2023-1017 と CVE-2023-1018）が見つかりました。

この脆弱性のため、巧妙な攻撃者により、特定の Compute Engine VM で 2 バイトの境界外読み取りおよび境界外書き込みが悪用されるおそれがあります。

手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

中

GCP-2023-003

公開日: 2023 年 4 月 11 日

最終更新日: 2023 年 12 月 21 日

説明

重大度

メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。

Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。

手順と詳細については、次の公開情報をご覧ください。

高

CVE-2023-0240、CVE-2023-23586

GCP-2023-002

説明

重大度

メモ

次の CVE は、Anthos Service Mesh を悪用可能な脆弱性にさらします。

CVE-2023-27496: Envoy が OAuth フィルタを公開して実行している場合、悪意のあるアクターが Envoy をクラッシュすることでサービス拒否攻撃を引き起こすリクエストを作成できます。
CVE-2023-27488: 攻撃者は、ext_authz が使用されているときに、この脆弱性を使用して認証チェックをバイパスする可能性があります。
CVE-2023-27493: Envoy の構成には、ピア証明書 SAN など、リクエストからの入力を使用して生成されたリクエストヘッダーを追加するオプションも含める必要があります。
CVE-2023-27492: 攻撃者は、Lua フィルタを有効にしているルートに対して大きなリクエスト本文を送信し、クラッシュをトリガーすることができます。
CVE-2023-27491: 攻撃者は特別に作成された HTTP/2 または HTTP/3 リクエストを送信して、HTTP/1 アップストリームサービスで解析エラーをトリガーできます。
CVE-2023-27487: ヘッダー「x-envoy-original-path」は内部ヘッダーである必要がありますが、信頼できないクライアントから送信されたリクエストの場合、Envoy はリクエスト処理の開始時にこのヘッダーを削除しません。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

高

GCP-2023-001

公開日: 2023 年 3 月 1 日、2023 年 12 月 21 日

説明

重大度

メモ

公開日: 2022 年 11 月 9 日

最終更新日: 2023 年 1 月 19 日

説明

重大度

メモ

2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能であるという情報を追加しました。

2022 年 12 月 16 日更新: GKE と GKE on VMware のパッチバージョンを追加しました。

Linux カーネルに 2 つの新しい脆弱性（CVE-2022-2585 と CVE-2022-2588）が見つかりました。これにより、ノード上のルートで完全なコンテナブレイクアウトが引き起こされる可能性があります。

手順と詳細については、以下をご覧ください。

高

GCP-2022-023

公開日: 2022 年 11 月 4 日

説明

最終更新日: 2022 年 10 月 12 日

説明

説明重大度メモ

Istio コントロールプレーン istiod はリクエスト処理中のエラーに対して脆弱で、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロールプレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

高

CVE-2022-39278

GCP-2022-019

公開日: 2022 年 9 月 22 日

説明

説明重大度メモ

ProtocolBuffer の C++ および Python 実装におけるメッセージ解析とメモリ管理の脆弱性により、特別に細工されたメッセージを処理するときにメモリ不足（OOM）障害が発生する可能性があります。これにより、ライブラリを使用するサービスに対してサービス拒否攻撃（DoS）を受けるおそれがあります。

必要な対策

次のソフトウェアパッケージの最新バージョンを使用していることを確認してください。

protobuf-cpp（3.18.3、3.19.5、3.20.2、3.21.6）
protobuf-python（3.18.3、3.19.5、3.20.2、4.21.6）

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです。

特別に構成された小さなメッセージにより、実行中のサービスが大量の RAM を割り当てる可能性があります。リクエストのサイズが小さいため、容易に脆弱性を悪用してリソースを枯渇させます。信頼できない protobuf を使用する C++ および Python システムの RPC リクエストに MessageSet オブジェクトが含まれている場合、DoS 攻撃を受ける可能性が高くなります。

中

CVE-2022-1941

GCP-2022-018

公開日:: 2022 年 8 月 1 日

メモ

OCI イメージボリューム仕様における containerd のパス走査の処理でセキュリティ上の脆弱性（CVE-2022-23648）が見つかりました。特別に細工されたイメージ構成で containerd の CRI 実装を使ってコンテナを起動すると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。この脆弱性により、コンテナの設定に対するポリシーベースの適用（Kubernetes Pod セキュリティポリシーを含む）がバイパスされる可能性があります。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

中

CVE-2022-23648

GCP-2022-012

公開日: 2022 年 4 月 7 日
最終更新日: 2022 年 11 月 22 日

説明

重大度

メモ

2022 年 11 月 22 日更新: Standard モードと Autopilot モードの両方の GKE クラスタで、GKE Sandbox を使用するワークロードは影響を受けません。

Linux カーネルバージョン 5.8 以降で、コンテナの権限を root に昇格できる可能性があるセキュリティ上の脆弱性（CVE-2022-0847）が見つかりました。この脆弱性の影響を受けるプロダクトは次のとおりです。

Container-Optimized OS イメージ（Container-Optimized OS 93 以降）を使用する GKE ノードプールバージョン 1.22 以降
Container-Optimized OS イメージ用の GKE on VMware v1.10
GKE on AWS v1.21 と GKE on AWS（旧世代）v1.19、v1.20、v1.21（Ubuntu を使用）
GKE on Azure v1.21 のマネージドクラスタ（Ubuntu を使用）

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

高

CVE-2022-0847

GCP-2022-011

公開日: 2022 年 3 月 22 日
最終更新日: 2022 年 8 月 11 日

説明

重大度

2022 年 8 月 11 日更新: 同時マルチスレッディング（SMT）構成に関する情報を追加しました。SMT は無効になっていることが想定されていましたが、リストにあるバージョンでは有効になっています。

サンドボックス化されたノードプールに対して SMT を手動で有効にした場合、この問題が発生しても SMT は手動で有効にされたままになります。

GKE Sandbox イメージに、ハイパースレッディングとも呼ばれる同時マルチスレッディング（SMT）の構成ミスが存在します。構成ミスにより、ノードがマイクロアーキテクチャデータサンプリング（MDS）などのサイドチャネル攻撃を受ける可能性があります（詳細については、GKE Sandbox のドキュメントをご覧ください）。影響を受ける次のバージョンの使用はおすすめしません。

1.22.4-gke.1501
1.22.6-gke.300
1.23.2-gke.300
1.23.3-gke.600

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

中

GCP-2022-010

説明

重大度

メモ

次の Istio CVE では、Anthos Service Mesh がリモートからの攻撃に利用できる脆弱性にさらされます。

CVE-2022-24726: Istio コントロールプレーン「istiod」はリクエスト処理中のエラーに対して脆弱で、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロールプレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

Anthos Service Mesh のセキュリティに関する公開情報。

高

CVE-2022-24726

GCP-2022-009

公開日: 2022 年 3 月 1 日

説明

重大度

GKE Autopilot クラスタのノード VM にアクセスする予期せぬパスの一部が、クラスタ内の権限を昇格させるために使用された可能性があります。これらの問題は修正済みであり、これ以上の対応は必要ありません。この修正は、脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

低

GCP-2022-008

公開日: 2022 年 2 月 23 日
最終更新日: 2022 年 4 月 28 日

説明

重大度

メモ

2022 年 4 月 28 日更新: これらの脆弱性を修正した GKE on VMware のバージョンを追加しました。詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。

先ごろ、Envoy プロジェクトで一連の脆弱性が発見されました。以下の問題はすべて Envoy リリース 1.21.1 で解決されています。

CVE-2022-23606: クラスタ検出サービス（CDS）でクラスタが削除されると、そのクラスタ内のエンドポイントに対して確立されたすべてのアイドル状態の接続が切断されます。Envoy バージョン 1.19 で、クラスタに多数のアイドル状態の接続がある場合に、スタックの枯渇や異常なプロセスの終了を引き起こす可能性がある手順に対して誤って再帰が導入されました。
CVE-2022-21655: Envoy の内部リダイレクトのコードでは、ルートエントリが存在することを前提としています。ダイレクトレスポンスエントリがあり、ルートエントリが存在しないルートに対して内部リダイレクトが行われると、null ポインタが参照解除され、クラッシュします。
CVE-2021-43826: Envoy が、アップストリームトンネリング（HTTP 経由）とダウンストリーム TLS 終端を使用する tcp_proxy を使用するように構成されている場合、アップストリーム HTTP ストリームの確立中に、ダウンストリームクライアントの TLS handshake で切断されると、Envoy がクラッシュします。ダウンストリームは、クライアントまたはサーバーのいずれかによって切断されます。クライアントがなんらかの理由で切断される可能性があります。サーバーに関しては、たとえば、クライアントと互換性のある TLS 暗号や TLS プロトコルのバージョンがない場合、接続を切断することがあります。こうしたクラッシュは、他のダウンストリーム構成でもトリガーされる可能性があります。
CVE-2021-43825: ローカルで生成されたレスポンスを送信すると、リクエストまたはレスポンスデータのそれ以降の処理を停止する必要があります。Envoy は、バッファリングされたリクエストデータとレスポンスデータの量を追跡し、バッファ内のデータの量が上限を超えた場合には 413 または 500 のレスポンスを送信してリクエストを中止します。ただし、フィルタチェーンによってレスポンスが処理されているときに、内部バッファのオーバーフローが原因でローカルで生成したレスポンスが送信されると、オペレーションが正しく中止されず、解放されたメモリブロックにアクセスする可能性があります。
CVE-2021-43824: 「safe_regex」一致ルールを使用した JWT フィルタと「CONNECT host:port HTTP/1.1」のような特別に作成されたリクエストを使用している場合、Envoy がクラッシュします。JWT フィルタに到達すると、「safe_regex」ルールで URL パスが評価されても何もなく、Envoy は segfaults でクラッシュします。
CVE-2022-21654: mTLS 検証設定が再構成されると、Envoy が TLS セッション再開を誤って許可します。以前の構成でクライアント証明書が許可されており、新しい構成では許可されていない場合、現在の構成で禁止されていても、クライアントは以前の TLS セッションを再開できます。次の設定の変更が影響を受けます。
- match_subject_alt_names
- CRL の変更
- allow_expired_certificate
- Trust_chain_verification
- only_verify_leaf_cert_crl
CVE-2022-21657: Envoy は、ピアから受け入れる証明書のセットを、TLS クライアントまたは TLS サーバーとして、必要な extendedKeyUsage（それぞれ d-kp-serverAuth と id-kp-clientAuth）が含まれる証明書のみに制限しません。つまり、ピアはリーフ証明書またはチェーン内の CA としてメール証明書（id-kp-emailProtection など）を提示でき、TLS に受け入れられます。これは、CVE-2022-21656 と組み合わさると特に悪影響を及ぼします。つまり、S/MIME での使用のみを目的とした Web PKI CA を許容し、監査や管理対象外となって Envoy が受け入れる TLS 証明書を発行するためです。
CVE-2022-21656: デフォルトの証明書検証ルーチンの実装に使用されるバリデータ実装に、subjectAltNames の処理時の「型混乱」のバグがあります。この処理により、たとえば rfc822Name や uniformResourceIndicator がドメイン名として認証されます。この混乱により、基盤となる OpenSSL/BoringSSL 実装で処理される際に nameConstraints がバイパスされ、任意のサーバーになりすます可能性があります。

特定のプロダクトに関する詳細な手順については、次のセキュリティに関する公開情報をご覧ください。

Anthos Service Mesh のセキュリティに関する公開情報。

Istio on GKE のセキュリティに関する公開情報。

必要な対策
独自の Envoy を管理しているユーザーは、Envoy リリース 1.21.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy（Google Cloud が Envoy バイナリを提供）を実行しているユーザーが行う必要がある操作はありません。Google Cloud プロダクトは 1.21.1 に切り替わります。

高

CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

公開日: 2022 年 2 月 22 日

説明

説明重大度メモ

次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。

CVE-2022-23635: 特別に作成された authorization ヘッダーでリクエストを受信すると、Istio がクラッシュします。
CVE-2021-43824: JWT フィルタ safe_regex の一致を使用すると null ポインタ逆参照が発生する可能性があります。
CVE-2021-43825: レスポンスフィルターがレスポンスデータを増加させ、増加したデータがダウンストリームバッファ制限を超える場合の「解放後の使用」。
CVE-2021-43826: アップストリーム接続の確立中にダウンストリームが切断された場合に、HTTP 経由で TCP をトンネリングする場合の「解放後の使用」。
CVE-2022-21654: 誤った構成処理により、検証設定が変更された後、再検証せずに mTLS セッションを再利用できます。
CVE-2022-21655: ダイレクトレスポンスエントリを含むルートへの内部リダイレクトが正しく処理されません。
CVE-2022-23606: クラスタディスカバリサービスを介してクラスタが削除されると、スタックが枯渇します。

2022 年 2 月 23 日更新: GKE と GKE on VMware のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。

2022 年 2 月 4 日更新: GKE パッチバージョンのロールアウト開始日は 2 月 2 日でした。

Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154、CVE-2021-22600、CVE-2022-0185 が見つかりました。これらは、それぞれコンテナブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノードオペレーティングシステム（COS と Ubuntu）、GKE on VMware、GKE on AWS（最新および旧世代）、GKE on Azure に影響します。GKE Sandbox を使用する Pod には、これらの脆弱性はありません。詳細については、リリースノートをご覧ください。

手順と詳細については、以下をご覧ください。

高

GCP-2022-001

公開日: 2022 年 1 月 6 日

説明

説明重大度メモ

バイナリデータの解析手順で、protobuf-java におけるサービス拒否攻撃の問題が見つかりました。

必要な対策

次のソフトウェアパッケージの最新バージョンを使用していることを確認してください。

protobuf-java（3.16.1、3.18.2、3.19.2）
protobuf-kotlin（3.18.2、3.19.2）
google-protobuf [JRuby gem]（3.19.2）

Protobuf「javalite」ユーザー（通常は Android）は影響を受けません。

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです。

Java で不明なフィールドを解析する方法の実装に存在する脆弱性。800 KB 程度の小さな悪意のあるペイロードにより、短命なオブジェクトを多数作成することでガベージコレクションを頻繁かつ繰り返し発生させ、パーサーを数分間占有することが可能です。

高

CVE-2021-22569

GCP-2021-024

公開日: 2021 年 10 月 21 日

説明

重大度

メモ

Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタムスニペットを使用すると、すべての名前空間で ingress-nginx サービスアカウントトークンとシークレットを取得できます。

手順と詳細については、以下をご覧ください。

なし

CVE-2021-25742

GCP-2021-019

公開日: 2021 年 9 月 29 日

説明

説明重大度メモ

v1beta1 API を使用して BackendConfig リソースを更新すると、サービスからアクティブな Google Cloud Armor セキュリティポリシーが削除されるという既知の問題があります。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

低

GCP-2021-022

公開日: 2021 年 9 月 22 日

説明

重大度

メモ

GKE on VMware バージョン 1.8 および 1.8.1 の GKE Enterprise Identity Service（AIS）LDAP モジュールで、鍵の生成に使用されるシード鍵を予測できる脆弱性が見つかりました。この脆弱性により、認証されたユーザーが任意のクレームを追加して、権限を無期限にエスカレーションできるようになります。

設定手順と詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。

高

GCP-2021-021

公開日: 2021 年 9 月 22 日

説明

重大度

メモ

セキュリティ上の脆弱性 CVE-2020-8561 が Kubernetes で見つかりました。これは、kube-apiserver リクエストをその API サーバーのプライベートネットワークにリダイレクトする Webhook を作成できるものです。

手順と詳細については、以下をご覧ください。

中

CVE-2020-8561

GCP-2021-023

公開日: 2021 年 9 月 21 日

説明

重大度

メモ

VMware セキュリティアドバイザリ VMSA-2021-0020 によると、vCenter に関して複数の脆弱性が報告されました。VMware では、影響を受ける VMware 製品の脆弱性修正のため、アップデートを行いました。

Google では、vSphere スタック用に VMware から提供されたパッチを VMware セキュリティアドバイザリに従って Google Cloud VMware Engine に適用しました。このアップデートは、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22010 のセキュリティ脆弱性に対応しています。その他の重要ではないセキュリティ問題については、今後の VMware スタックのアップグレードで対処する予定です（7 月にお送りしたお知らせに、アップグレードの具体的なタイムラインが記載されています）。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-020

公開日: 2021 年 9 月 17 日

説明

説明重大度メモ

Identity-Aware Proxy（IAP）が有効なバックエンドサービスにルーティングする Google Cloud の特定のロードバランサで、限定された条件下において信頼できないグループに対して脆弱な状態になる可能性があります。これは、Google の脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

この問題はサーバーが次の条件を満たす場合に発生します。

HTTP(S) ロードバランサであった。かつ
デフォルトのバックエンド、またはワイルドカードホストマッピングルール（つまり、host="*"）を持つバックエンドを使用した

さらに、組織内のユーザーが、信頼できないグループから送信された特別に作成されたリンクをクリックした。

現在、この問題は解決しています。2021 年 9 月 17 日の時点で、認証済みのホストにのみ Cookie を発行するように IAP が更新されました。ホストが認証済みとみなされるのは、ロードバランサにインストールされているいずれかの証明書の少なくとも 1 つのサブジェクト代替名（SAN）と一致する場合です。

手順

お客様の一部のユーザーに対し、アプリまたはサービスにアクセスしようとしたときに、HTTP 401 Unauthorized レスポンスと IAP エラーコード 52 が返される場合があります。このエラーコードは、ロードバランサの SSL 証明書に関連付けられたサブジェクト代替名と一致しない Host ヘッダーをクライアントが送信したことを意味します。ロードバランサの管理者は、SSL 証明書を更新して、サブジェクト代替名（SAN）リストに、IAP で保護されたアプリまたはサービスにユーザーがアクセスするために使用するすべてのホスト名が含まれるようにする必要があります。IAP エラーコードの詳細

高

GCP-2021-018

公開日: 2021 年 9 月 15 日
最終更新日: 2021 年 9 月 20 日

説明

重大度

メモ

Kubernetes で CVE-2021-25741 に記載されたセキュリティの問題が見つかりました。これにより、ユーザーが subpath ボリュームマウントを使用するコンテナを作成し、ボリュームの外部（ホストのファイルシステムを含む）にあるファイルとディレクトリにアクセスできる可能性があります。

手順と詳細については、以下をご覧ください。

高

CVE-2021-25741

GCP-2021-017

公開日: 2021 年 9 月 1 日
最終更新日: 2021 年 9 月 23 日

説明

重大度

メモ

重大度

メモ

Microsoft は、Windows Server の印刷スプーラーに影響するリモートコード実行（RCE）の脆弱性 CVE-2021-34527 についてのセキュリティ情報を公開しました。CERT Coordination Center（CERT/CC）は、「Printnightmare」と呼ばれる、関連する脆弱性に対する更新メモを公開しました。この脆弱性は Windows 印刷スプーラーにも影響します（Printnightmare、重大な Windows 印刷スプーラーの脆弱性）。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

高

CVE-2021-34527

GCP-2021-012

公開日: 2021 年 6 月 24 日
最終更新日: 2021 年 7 月 9 日

説明

重大度

メモ

先ごろ、Istio プロジェクトによって、ゲートウェイと DestinationRule の credentialName フィールドで指定された認証情報に異なる名前空間からアクセスできるようになるというセキュリティの脆弱性が発表されました。

サービス固有の手順と詳細については、以下をご覧ください。

Anthos Service Mesh のセキュリティに関する公開情報。
GKE エンタープライズセキュリティに関する公開情報 GCP-2021-012 では、Google Kubernetes Engine、Google Distributed Cloud Virtual for Bare Metal、GKE on VMware に固有の情報を提供しています。

高

CVE-2021-34824

GCP-2021-011

公開日: 2021 年 6 月 4 日
最終更新日: 2021 年 10 月 19 日

説明

説明重大度メモ

2021 年 10 月 19 日更新:

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

先ごろ、セキュリティコミュニティが runc にセキュリティ上の新しい脆弱性（CVE-2021-30465）があることを発表しました。この脆弱性により、ノードファイルシステムに対する完全アクセス権が取得される可能性があります。

この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE では、この脆弱性の重大度を MEDIUM と評価しています。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

中

CVE-2021-30465

GCP-2021-010

公開日: 2021 年 5 月 25 日

説明

重大度

メモ

VMware セキュリティアドバイザリ VMSA-2021-0010 によると、vSphere Client（HTML5）のリモートコード実行と認証バイパスに関する脆弱性が VMware に非公開で報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを作成しました。

Google では、VMware セキュリティアドバイザリに従い、vSphere スタック用に VMware が提供するパッチを適用しました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されているセキュリティ上の脆弱性に対応しています。現時点で、VMware Engine プライベートクラウドで実行されているイメージバージョンには、パッチが適用済みであることを示す変更は反映されていません。適切なパッチがインストールされ、お客様の環境はこれらの脆弱性から保護されていますので、ご安心ください。

VMware Engine への影響

メモ

先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性（CVE-2021-31920）が公表されました。

Istio には、パスベースの承認ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。

手順と詳細については、以下をご覧ください。

GKE のセキュリティに関する公開情報

高

CVE-2021-31920

GCP-2021-005

公開日: 2021 年 5 月 11 日

説明

説明重大度メモ

報告された脆弱性により、Envoy は Envoy バージョン 1.18.2 以前の HTTP URL パス内のエスケープされたスラッシュシーケンス %2F と %5C をデコードしないことがわかりました。また、Envoy ベースの一部のプロダクトでは、パスの正規化コントロールが有効になりません。リモートの攻撃者がエスケープされたスラッシュ（/something%2F..%2Fadmin, など）付きのパスを作成して、アクセス制御（/admin に対するブロックなど）をバイパスする可能性があります。バックエンドサーバーがスラッシュシーケンスのデコードとパスの正規化を行うことによって、攻撃者が、アクセス制御ポリシーによって提供されるスコープを超えてアクセスできる可能性が生じます。

必要な対策

バックエンドサーバーが / と %2F または \ と %5C を同義として扱い、URL パスに基づくマッチングが構成されている場合、\ と %2F または \ と %5C を同義として扱わないようにバックエンドサーバーを再構成することをおすすめします（可能な場合）。

導入された動作変更

Envoy の normalize_path オプションと隣接するスラッシュを結合するオプションを使用して、Envoy ベースのプロダクトで他の一般的なパスの混乱の脆弱性に対処できるようになりました。

高

CVE-2021-29492

GCP-2021-004

公開日: 2021 年 5 月 6 日

説明

重大度

メモ

Envoy と Istio のプロジェクトは、最近、攻撃者が Envoy をクラッシュさせるおそれがある新しいセキュリティ上の脆弱性（CVE-2021-28683、CVE-2021-28682、CVE-2021-29258）を発表しました。

Google Kubernetes Engine クラスタは、デフォルトでは Istio を実行しないため、脆弱性はありません。Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、このサービスにはサービス拒否攻撃を受ける脆弱性が存在する可能性があります。

Google Distributed Cloud Virtual for Bare Metal と GKE on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

中

GCP-2021-003

公開日: 2021 年 4 月 19 日

説明

説明重大度メモ

先ごろ、Kubernetes プロジェクトが新しいセキュリティ上の脆弱性 CVE-2021-25735 を発表しました。この脆弱性が悪用されると、ノードの更新で Validating Admission Webhook がバイパスされる可能性があります。

攻撃者に十分な権限があり、古い Node オブジェクトプロパティ（Node.NodeSpec のフィールドなど）を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッションコントローラによって適用されるポリシーは影響を受けませんが、お客様がインストールした追加の Admission Webhook を確認することをおすすめします。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

中

CVE-2021-25735

GCP-2021-002

公開日: 2021 年 3 月 5 日

説明

重大度

メモ

VMware セキュリティアドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント（HTML5）に複数の脆弱性に関する報告を受けました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。

Google では、VMware セキュリティアドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されている脆弱性に対応しています。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-001

公開日: 2021 年 1 月 28 日

説明

説明重大度メモ

先ごろ、Linux ユーティリティ sudo に脆弱性（CVE-2021-3156 に記載）が発見されました。この脆弱性により、特権を持たないローカルシェルセッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。

この脆弱性は、すべての Google Kubernetes Engine（GKE）、VMware on GKE、AWS 上の GKE、Google Distributed Cloud Virtual for Bare Metal には影響しません。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

なし

CVE-2021-3156

GCP-2020-015

公開日: 2020 年 12 月 7 日
最終更新日: 2020 年 12 月 22 日

説明

説明重大度メモ

2021 年 12 月 22 日更新: 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。


gcloud container clusters update –no-enable-service-externalips

2021 年 12 月 15 日更新: GKE について、以下の緩和策が利用可能です。

GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッションコントローラによってブロックされます。
GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。
```
gcloud container clusters update –no-enable-service-externalips
```

詳細については、クラスタのセキュリティの強化をご覧ください。

Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者が、クラスタ内の他の Pod から発信されるネットワークトラフィックをインターセプトできる可能性があります。この脆弱性だけでは、攻撃者が Kubernetes Service を作成する権限は付与されません。

この脆弱性の影響を受けるのは、すべての Google Kubernetes Engine（GKE）、GKE on VMware、GKE on AWS クラスタです。

必要な対策

手順と詳細については、以下をご覧ください。

中

CVE-2020-8554

GCP-2020-014

公開日: 2020 年 10 月 20 日
最終更新日: 2020 年 10 月 20 日

説明

重大度

メモ

最近、Kubernetes プロジェクトでは、詳細ロギングオプションが有効になっている場合にシークレットデータが公開されてしまういくつかの問題を確認しました。問題は次のとおりです。

CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
CVE-2020-8565: Kubernetes の CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合にログのトークンが漏えいするこれは、GKE Security によって発見されました。
CVE-2020-8566: ログレベルが 4 以上の場合に、ログの Ceph RBD adminSecret が漏えいする

必要な対策

GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

なし

Google Cloud への影響

プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Google Kubernetes Engine（GKE）	Google Kubernetes Engine（GKE）は影響を受けません。
GKE On-Prem	GKE On-Prem は影響を受けません。
GKE on AWS	GKE on AWS は影響を受けません。

GCP-2020-013

公開日: 2020 年 9 月 29 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性	重大度	CVE
CVE-2020-1472 - Windows Server の脆弱性により、攻撃者が Netlogon Remote Protocol を使用して、ネットワーク上のデバイス上で特別に細工したアプリケーションを実行するおそれがあります。	NVD ベーススコア: 10（重大）	CVE-2020-1472

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Compute Engine	CVE-2020-1472 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、2020 年 8 月 17 日以降に公開された Windows Server イメージ（v20200813 以降）を使用する必要があります。
Google Kubernetes Engine	CVE-2020-1472 ほとんどのお客様は、以後の対応は必要ありません。 GKE Windows Server ノードでドメインコントローラをホストしているお客様は、ノードと、ノード上で実行されるコンテナ化されたワークロードの両方で、最新の Windows ノードイメージ（使用可能な場合）を使用する必要があります。新しいノードイメージバージョンは 10 月に GKE リリースノートで発表される予定です。
Managed Service for Microsoft Active Directory	CVE-2020-1472 ほとんどのお客様は、以後の対応は必要ありません。 NetLogon プロトコルに対する修正が含まれる Microsoft がリリースした 8 月パッチが、すべてのマネージド Microsoft AD ドメインコントローラに適用されました。このパッチでは、潜在的な悪用を防ぐための機能が提供されます。パッチを適時に適用することは、Managed Service for Microsoft Active Directory を使用する主な利点の 1 つです。Microsoft Active Directory を手動で実行する（Google Cloud のマネージドサービスを使用しない）お客様は、インスタンスに最新の Windows パッチを適用するか、Windows Server イメージを使用する必要があります。
Google Workspace	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine スタンダード環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine フレキシブル環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Run	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Functions	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Composer	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataflow	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataproc	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud SQL	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。

GCP-2020-012

公開日: 2020 年 9 月 14 日
最終更新日: 2020 年 9 月 17 日

説明

重大度

メモ

先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。

すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod はこの脆弱性の影響を受けません。

手順と詳細については、以下をご覧ください。

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです。

脆弱性 CVE-2020-14386。CAP_NET_RAW
を備えたコンテナでは、1～10 バイトのカーネルメモリを書き込み、場合によってはコンテナをエスケープしてホストノードの root 権限を取得できます。この脆弱性の重大度評価は高です。

高

CVE-2020-14386

GCP-2020-011

公開日: 2020 年 7 月 24 日

説明

重大度

メモ

先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカルループバックインターフェース（127.0.0.1）を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバックインターフェースにトラフィックを送信できてしまいます。Pod の外部からループバックインターフェースにアクセスできないことに依存している Service が侵害される可能性があります。

手順と詳細については、以下をご覧ください。

低（GKE、GKE on AWS）、
中（GKE on VMware）

CVE-2020-8558

GCP-2020-010

公開日: 2020 年 7 月 27 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性	重大度	CVE
CVE-2020-1350 - DNS サーバーとして動作する Windows Server には、ローカルシステムアカウントで信頼できないコードを実行できるという脆弱性があります。	NVD ベーススコア: 10.0（重大）	CVE-2020-1350

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

プロダクト	影響
Compute Engine	CVE-2020-1350 ほとんどのお客様は、以後の対応は必要ありません。 DNS サーバーとして Windows Server を実行している Compute Engine 仮想マシンを使用する場合は、インスタンスに最新の Windows パッチを適用するか、2020 年 7 月 14 日以降の Windows Server イメージを使用する必要があります。
Google Kubernetes Engine	CVE-2020-1350 ほとんどのお客様は、以後の対応は必要ありません。 DNS サーバーとして使用している Windows Server ノードで GKE を使用している場合、ノードとそのノードで実行するコンテナ化されたワークロードを、修正を含む Windows サーバーバージョンに手動で更新する必要があります。
Managed Service for Microsoft Active Directory	CVE-2020-1350 ほとんどのお客様は、以後の対応は必要ありません。管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行する（マネージド Microsoft AD を使用しない）お客様は、インスタンスに最新の Windows パッチを適用するか、2020 年 7 月 14 日以降の Windows Server イメージを使用する必要があります。
Google Workspace	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine スタンダード環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine フレキシブル環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Run	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Functions	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Composer	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataflow	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataproc	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud SQL	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。

GCP-2020-009

公開日: 2020 年 7 月 15 日

説明

重大度

公開日: 2020 年 3 月 31 日
最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2019-11254

手順と詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。

GCP-2020-003

公開日: 2020 年 3 月 31 日
最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2019-11254

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

GCP-2020-002

公開日: 2020 年 3 月 23 日
最終更新日: 2020 年 3 月 23 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性	重大度	CVE
CVE-2020-8551 - これは kubelet に影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2020-8551
CVE-2020-8552 - これは API サーバーに影響を与えるサービス拒否攻撃（DoS）の脆弱性です。	中	CVE-2020-8552

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

GCP-2020-001

公開日: 2020 年 1 月 21 日
最終更新日: 2020 年 1 月 21 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性	重大度	CVE
CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で秘密情報を復号することも可能です。	NVD ベーススコア: 8.1（高）	CVE-2020-0601

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

プロダクト	影響
Compute Engine	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。詳細については、Compute Engine のセキュリティに関する情報をご覧ください。
Google Kubernetes Engine	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。 Windows Server ノードで GKE を使用している場合は、この脆弱性を軽減するために、ノードとそれらのノード上で実行されるコンテナ化されたワークロードの両方をパッチ適用済みバージョンに更新する必要があります。手順と詳細については、GKE のセキュリティ情報をご覧ください。
Managed Service for Microsoft Active Directory	CVE-2020-0601 ほとんどのお客様は、以後の対応は必要ありません。管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行する（マネージド Microsoft AD を使用しない）お客様は、インスタンスに最新の Windows パッチを適用するか、2020 年 1 月 15 日以降の Windows Server イメージを使用する必要があります。
Google Workspace	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine スタンダード環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
App Engine フレキシブル環境	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Run	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Functions	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud Composer	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataflow	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Dataproc	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。
Cloud SQL	お客様による対応は必要ありません。このサービスはこの脆弱性による影響を受けません。

GCP-2019-001

公開日: 2019 年 11 月 12 日
最終更新日: 2019 年 11 月 12 日

説明

Intel により次の脆弱性が開示されました。

脆弱性	重大度	CVE
CVE-2019-11135 - TSX の非同期中止（TAA）と呼ばれるこの脆弱性は、TSX のトランザクション内で投機的実行の悪用に使用される可能性があります。この脆弱性により、Microarchitectural Data Sampling（MDS）によって読み出されたマイクロアーキテクチャのデータ構造を通してデータが公開されてしまう可能性があります。	中	CVE-2019-11135
CVE-2018-12207 - 仮想マシンのホスト（ゲストではない）に影響を及ぼすサービス拒否攻撃（DoS）の脆弱性が存在します。この問題は、「ページサイズ変更によるマシンチェックエラー」として知られています。	中	CVE-2018-12207

詳しくは、Intel の開示情報をご覧ください。

Google Cloud への影響

Google Cloud および Google プロダクトをホストしているインフラストラクチャは、これらの脆弱性から保護されています。プロダクトごとの詳細については、以下をご覧ください。

プロダクト	影響
Compute Engine	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 Compute Engine 仮想マシン内の独自のマルチテナントサービスで信頼できないコードを実行している N2、C2、M2 のお客様は、VM をいったん停止してから再起動して、最新のセキュリティ対策が適用された状態にする必要があります。注: 詳細については、Compute Engine のセキュリティに関する情報をご覧ください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Google Kubernetes Engine	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。使用しているノードプールに N2、M2、または C2 マシンタイプのノードが含まれていて、それらのノードが独自のマルチテナント GKE クラスタ内で信頼できないコードを実行している場合は、ノードを再起動する必要があります。ノードプール内のすべてのノードを再起動する場合は、影響を受けるノードプールをアップグレードしてください。注: ノードプールをアップグレードする場合も、同じ GKE バージョンを指定できます。詳細については、GKE のセキュリティに関する情報をご覧ください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
App Engine スタンダード環境	追加のアクションを行う必要はありません。
App Engine フレキシブル環境	CVE-2019-11135 追加のアクションを行う必要はありません。フレキシブル環境の VM 内のハイパースレッド間でアプリケーションレベルの共有が起こる可能性に関連して、Intel からベストプラクティスが公開されています。必ずご確認ください。 CVE-2018-12207 追加のアクションを行う必要はありません。
Cloud Run	追加のアクションを行う必要はありません。
Cloud Functions	追加のアクションを行う必要はありません。
Cloud Composer	追加のアクションを行う必要はありません。
Dataflow	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 Dataflow によって管理されている N2、C2、または M2 マシンタイプの Compute Engine VM で複数の信頼できないワークロードを実行している Dataflow のお客様で、ゲスト内攻撃の心配がある場合は、現在実行中のストリーミングパイプラインの再起動を検討してください。必要に応じて、バッチパイプラインをいったんキャンセルし、再実行します。本日以降に開始したパイプラインの場合は、必要なアクションはありません。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Dataproc	CVE-2019-11135 ほとんどのお客様は、追加のアクションを行う必要はありません。 N2、C2、または M2 マシンタイプの Compute Engine VM で実行されている 1 つの Cloud Dataproc クラスタで、複数の信頼できないワークロードを実行している Cloud Dataproc のお客様で、ゲスト内攻撃の心配がある場合は、クラスタを再デプロイしてください。 CVE-2018-12207 お客様が追加のアクションを行う必要はありません。
Cloud SQL	追加のアクションを行う必要はありません。