Buletin Keamanan

Buletin keamanan berikut terkait dengan produk Google Cloud.

Gunakan feed XML ini untuk berlangganan buletin keamanan untuk halaman ini. Langganan

GCP-2024-022

Dipublikasikan: 03-04-2024

Deskripsi

Deskripsi Keparahan Notes

Kerentanan Denial-of-Service (DoS) (CVE-2023-45288) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2, termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS bidang kontrol Google Kubernetes Engine (GKE).

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-45288

GCP-2024-021

Dipublikasikan: 03-04-2024

Deskripsi

Deskripsi Keparahan Notes

Compute Engine tidak terpengaruh oleh CVE-2024-3094, yang memengaruhi paket xz-utils versi 5.6.0 dan 5.6.1 di library liblzma, dan dapat membahayakan utilitas OpenSSH.

Untuk mengetahui detail selengkapnya, lihat buletin keamanan Compute Engine.

Sedang CVE-2024-3094

GCP-2024-020

Dipublikasikan: 02-04-2024

Deskripsi

Deskripsi Keparahan Notes

Peneliti menemukan kerentanan (CVE-2023-48022) di Ray. Ray adalah alat open source pihak ketiga untuk workload AI. Karena Ray tidak memerlukan autentikasi, pelaku ancaman dapat menjalankan eksekusi kode jarak jauh dengan mengirimkan tugas ke instance yang terekspos secara publik. Kerentanan ini telah disengketakan oleh Anyscale, developer Ray. Ray mempertahankan fungsinya sebagai fitur produk inti yang dimaksudkan, dan keamanan harus diterapkan di luar cluster Ray, karena eksposur jaringan yang tidak diinginkan dari cluster Ray dapat menyebabkan penyusupan.

Berdasarkan respons tersebut, CVE ini disengketakan dan mungkin tidak muncul di pemindai kerentanan. Terlepas dari apa pun, masalah ini secara aktif dieksploitasi secara bebas dan pengguna harus mengonfigurasi penggunaannya seperti yang disarankan di bawah ini.

Apa yang sebaiknya saya lakukan?

Ikuti praktik terbaik dan panduan Ray, termasuk menjalankan kode tepercaya pada jaringan tepercaya, untuk mengamankan workload Ray Anda. Deployment ray.io di instance cloud pelanggan tercakup dalam model tanggung jawab bersama.

Keamanan Google Kubernetes Engine (GKE) telah memublikasikan blog tentang hardening Ray di GKE.

Untuk mengetahui informasi lebih lanjut tentang cara menambahkan autentikasi dan otorisasi ke layanan Ray, baca dokumentasi Identity-Aware Proxy (IAP). Pengguna GKE dapat mengimplementasikan IAP dengan mengikuti panduan ini atau dengan menggunakan kembali modul Terraform yang ditautkan di blog.

Tinggi CVE-2023-48022

GCP-2024-018

Dipublikasikan: 12-03-2024

Diperbarui: 04-04-2024

Deskripsi

Deskripsi Keparahan Notes

Update 04-04-2024: Versi minimum yang dikoreksi untuk kumpulan node OS yang Dioptimalkan untuk GKE Container-Optimized.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-1085

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-1085

GCP-2024-017

Dipublikasikan: 06-03-2024

Deskripsi

Deskripsi Keparahan Notes

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3611

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3611

GCP-2024-016

Dipublikasikan: 05-03-2024

Deskripsi Keparahan Notes

VMware mengungkapkan beberapa kerentanan di VMSA-2024-0006 yang berdampak pada komponen ESXi yang di-deploy di lingkungan pelanggan.

Dampak Cloud Customer Care

Cloud pribadi Anda telah diupdate untuk mengatasi kerentanan keamanan.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan apa pun.

Penting

GCP-2024-014

Dipublikasikan: 26-02-2024

Deskripsi

Deskripsi Keparahan Notes

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3776

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3776

GCP-2024-013

Dipublikasikan: 27-02-2024

Deskripsi

Deskripsi Keparahan Notes

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-3610

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3610

GCP-2024-012

Dipublikasikan: 20-02-2024

Deskripsi

Deskripsi Keparahan Notes

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2024-0193

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-0193

GCP-2024-011

Dipublikasikan: 15-02-2024

Deskripsi

Deskripsi Keparahan Notes

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS:

  • CVE-2023-6932

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-6932

GCP-2024-010

Dipublikasikan: 14-02-2024

Diperbarui: 17-04-2024

Deskripsi

Deskripsi Keparahan Notes

Update 17-04-2024: Menambahkan versi patch untuk GKE di VMware.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6931

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-6931

GCP-2024-009

Dipublikasikan: 13-02-2024

Deskripsi

Deskripsi Keparahan Notes

Pada 13 Februari 2024, AMD mengungkapkan dua kerentanan yang memengaruhi SEV-TPM pada CPU EPYC berdasarkan core Zen generasi ketiga "Milan" dan "Genoa" generasi keempat. Kerentanan ini memungkinkan penyerang yang memiliki hak istimewa mengakses data tidak berlaku dari tamu atau menyebabkan hilangnya integritas tamu.

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun. Perbaikan telah diterapkan ke fleet server Google untuk Google Cloud, termasuk Compute Engine.

Untuk mengetahui informasi selengkapnya, lihat saran keamanan AMD AMD-SN-3007.

Sedang

GCP-2024-008

Dipublikasikan: 12-02-2024

Deskripsi

Deskripsi Keparahan Notes

CVE-2023-5528 memungkinkan penyerang membuat pod dan volume persisten pada node Windows dengan cara yang memungkinkan eskalasi hak istimewa admin pada node tersebut.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-5528

GCP-2024-007

Dipublikasikan: 08-02-2024

Deskripsi

Deskripsi Keparahan Notes

CVE berikut mengekspos Anthos Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2024-23322: Envoy mengalami error saat tidak ada aktivitas dan permintaan waktu tunggu per percobaan terjadi dalam interval backoff.
  • CVE-2024-23323: Penggunaan CPU yang berlebihan saat pencocok template URI dikonfigurasi menggunakan regex.
  • CVE-2024-23324: Otorisasi eksternal dapat diabaikan saat filter protokol Proxy menetapkan metadata UTF-8 yang tidak valid.
  • Envoy error saat menggunakan jenis alamat yang tidak didukung oleh OS.
  • CVE-2024-23327: Error dalam protokol proxy saat jenis perintah adalah LOCAL.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin Pengamanan Mesh Anthos Service.

Tinggi

GCP-2024-006

Dipublikasikan: 5-02-2024

Deskripsi

Deskripsi Keparahan Notes

Saat proxy Pengelolaan API Apigee terhubung ke endpoint target atau server target, proxy tidak melakukan validasi nama host untuk sertifikat yang diberikan oleh endpoint target atau server target secara default. Jika validasi nama host tidak diaktifkan menggunakan salah satu opsi berikut, proxy Apigee yang terhubung ke endpoint target atau server target berisiko terkena serangan man in the middle oleh pengguna yang diotorisasi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud).

Deployment proxy Apigee pada platform Apigee berikut terpengaruh:

  • Apigee Edge untuk Cloud Publik
  • Apigee Edge untuk Private Cloud

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Apigee.

Tinggi

GCP-2024-005

Dipublikasikan: 2024-01-31
Diperbarui: 2024-04-02

Deskripsi

Deskripsi Keparahan Notes

Update 02-04-2024: Menambahkan versi patch untuk GKE di Bare Metal


Update 06-03-2024: Menambahkan versi patch untuk GKE di VMware


Update 28-02-2024: Menambahkan versi patch untuk Ubuntu


Update 15-02-2024: Menjelaskan bahwa versi patch Ubuntu 1.25 dan 1.26 pada update 14-02-2024 dapat menyebabkan node yang tidak responsif.


Update 14-02-2024: Menambahkan versi patch untuk Ubuntu


Update 06-02-2024: Menambahkan versi patch untuk Container-Optimized OS.


Kerentanan keamanan, CVE-2024-21626, telah ditemukan di runc, yakni pengguna dengan izin untuk membuat Pod di node Ubuntu dan Container-Optimized OS mungkin dapat memperoleh akses penuh ke sistem file node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2024-21626

GCP-2024-004

Dipublikasikan: 24-01-2024
Diperbarui: 2024-02-07

Deskripsi

Deskripsi Keparahan Notes

Update 07-02-2024: Menambahkan versi patch untuk Ubuntu.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-6817

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-6817

GCP-2024-003

Dipublikasikan: 2024-01-19
Diperbarui: 2024-01-26

Deskripsi

Deskripsi Keparahan Notes

Update 26-01-2024: Mengklarifikasi jumlah cluster yang terpengaruh dan tindakan yang kami ambil untuk membantu mengurangi dampaknya. Untuk mengetahui detailnya, lihat buletin keamanan GCP-2024-003.


Kami telah mengidentifikasi beberapa cluster tempat pengguna memberikan hak istimewa Kubernetes ke grup system:authenticated, yang mencakup semua pengguna dengan Akun Google. Jenis binding ini tidak direkomendasikan, karena melanggar prinsip hak istimewa terendah dan memberikan akses ke sekelompok pengguna yang sangat besar. Lihat panduan di bagian 'Apa yang harus saya lakukan' untuk mengetahui petunjuk cara menemukan jenis binding ini.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang

GCP-2024-002

Dipublikasikan: 17-01-2024

Diperbarui: 20-02-2024

Deskripsi

Deskripsi Keparahan Notes

Update 20-02-2024: Menambahkan versi patch untuk GKE di VMware.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node OS yang Dioptimalkan untuk Container.

  • CVE-2023-6111

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-6111

GCP-2024-001

Dipublikasikan: 09-01-2024

Deskripsi

Deskripsi Keparahan Notes

Beberapa kerentanan ditemukan dalam firmware UEFI TianoCore EDK II. Firmware ini digunakan di VM Google Compute Engine. Jika dieksploitasi, kerentanan tersebut dapat memungkinkan pengabaian booting aman, yang akan memberikan pengukuran palsu dalam proses booting aman, termasuk saat digunakan di Shielded VM.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Google telah mem-patch kerentanan ini di seluruh Compute Engine dan semua VM terlindungi dari kerentanan ini.

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi kerentanan berikut:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
Sedang

GCP-2023-051

Dipublikasikan: 28-12-2023

Deskripsi

Deskripsi Keparahan Notes

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3609

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3609

GCP-2023-050

Dipublikasikan: 27-12-2023

Deskripsi

Deskripsi Keparahan Notes

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3389

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3389

GCP-2023-049

Dipublikasikan: 20-12-2023

Deskripsi

Deskripsi Keparahan Notes

Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3090

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3090

GCP-2023-048

Dipublikasikan: 15-12-2023

Diperbarui: 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3390

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3390

GCP-2023-047

Dipublikasikan: 14-12-2023

Deskripsi

Deskripsi Keparahan Notes

Penyerang yang telah membobol container logging Fluent Bit dapat menggabungkan akses tersebut dengan hak istimewa tinggi yang diperlukan oleh Anthos Service Mesh (pada cluster yang telah mengaktifkannya) untuk mengeskalasikan hak istimewa di cluster.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang

GCP-2023-046

Dipublikasikan: 22-11-2023
Diperbarui: 2024-03-04

Deskripsi

Deskripsi Keparahan Notes

Update 04-03-2024: Menambahkan versi GKE untuk GKE di VMware.

Update 22-01-2024: Menambahkan versi patch Ubuntu


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5717

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-5717

GCP-2023-045

Dipublikasikan: 20-11-2023

Diperbarui: 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-5197

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-5197

GCP-2023-044

Dipublikasikan: 15-11-2023

Deskripsi

Deskripsi Keparahan Notes

Pada 14 November, AMD mengungkapkan beberapa kerentanan yang memengaruhi berbagai CPU server AMD. Secara khusus, kerentanan berdampak pada CPU Server EPYC yang memanfaatkan Zen core generasi 2 "Rome", gen 3 "Milan", dan gen 4 "Genoa".

Google telah menerapkan perbaikan pada aset yang terpengaruh, termasuk Google Cloud, untuk memastikan pelanggan terlindungi. Saat ini, tidak ada bukti eksploitasi yang ditemukan atau dilaporkan ke Google.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun.

Perbaikan telah diterapkan ke fleet server Google untuk Google Cloud, termasuk Google Compute Engine.

Kerentanan apa yang ditangani?

Patch ini mengurangi kerentanan berikut:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Untuk mengetahui informasi selengkapnya, lihat saran keamanan AMD AMD-SN-3005: "AMD INVD Instruction Security Notifications", yang juga dipublikasikan sebagai CacheWarp, dan AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

Sedang

GCP-2023-043

Dipublikasikan: 14-11-2023

Deskripsi

Deskripsi Keparahan Notes

Intel mengungkapkan kerentanan CPU di prosesor tertentu. Google telah mengambil langkah-langkah untuk memitigasi inventaris servernya, termasuk Google Compute Engine untuk Google Cloud, dan perangkat Chrome OS untuk memastikan pelanggan terlindungi.

Detail kerentanan:

  • CVE-2023-23583

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun.

Mitigasi yang diberikan oleh Intel untuk pemroses yang terpengaruh telah diterapkan ke fleet server Google, termasuk Google Compute Engine untuk Google Cloud.

Saat ini, Google Distributed Cloud Edge memerlukan update dari OEM. Google akan memperbaiki produk ini setelah pembaruan tersedia, dan buletin ini akan diperbarui sebagaimana mestinya.

Perangkat Chrome OS dengan prosesor yang terpengaruh akan otomatis menerima perbaikan sebagai bagian dari rilis 119, 118, dan 114 (LTS).

Kerentanan apa yang ditangani?

CVE-2023-23583. Untuk mengetahui detailnya, lihat Intel Security Advisory INTEL-SA-00950.

Tinggi CVE-2023-23583

GCP-2023-042

Dipublikasikan: 13-11-2023
Diperbarui: 15-11-2023

Deskripsi

Deskripsi Keparahan Notes

Update 15-11-2023: Memperjelas bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi yang di-patch dan sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4147

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4147

GCP-2023-041

Dipublikasikan: 08-11-2023

Diperbarui: 21-11-2023, 05-12-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Update 05-12-2023: Menambahkan versi GKE tambahan untuk kumpulan node Container-Optimized OS.


Update 21-11-2023: Perjelas bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi yang di-patch dan sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4004

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4004

GCP-2023-040

Dipublikasikan: 06-11-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Update 21-11-2023: Perjelas bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi yang di-patch dan sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4921

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4921

GCP-2023-039

Dipublikasikan: 06-11-2023

Diperbarui: 21-11-2023, 16-11-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-11-2023: Perjelas bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi yang di-patch dan sesuai untuk GKE.


Update 16-11-2023: Kerentanan yang terkait dengan buletin keamanan ini adalah CVE-2023-4622. CVE-2023-4623 salah dicantumkan sebagai kerentanan dalam buletin keamanan versi sebelumnya.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4622

GCP-2023-038

Dipublikasikan: 06-11-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Update 21-11-2023: Perjelas bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi yang di-patch dan sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4623

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4623

GCP-2023-037

Dipublikasikan: 06-11-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Update 21-11-2023: Perjelas bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi yang di-patch dan sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4015

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4015

GCP-2023-036

Dipublikasikan: 30-10-2023

Deskripsi

Deskripsi Keparahan Notes

Deep Learning VM Image adalah sekumpulan image mesin virtual yang sudah dikemas dengan framework deep learning yang siap digunakan secara langsung. Baru-baru ini, kerentanan penulisan di luar batas ditemukan dalam fungsi 'ReadHuffmanCodes()' di library 'libwebp'. Hal ini dapat memengaruhi gambar yang menggunakan library ini.

Google Cloud terus memindai gambarnya yang dipublikasikan secara publik dan memperbarui paket untuk memastikan distro yang di-patch disertakan dalam rilis terbaru yang tersedia untuk diadopsi oleh pelanggan. Deep Learning VM Image telah diupdate untuk memastikan bahwa image VM terbaru menyertakan distro yang di-patch. Pelanggan yang menggunakan image VM terbaru tidak akan terekspos kerentanan ini.

Apa yang sebaiknya saya lakukan?

Pelanggan Google Cloud yang menggunakan image VM yang dipublikasikan harus memastikan bahwa mereka menggunakan image terbaru dan lingkungan mereka selalu terbaru sesuai dengan model tanggung jawab bersama.

CVE-2023-4863 dapat dieksploitasi oleh penyerang untuk mengeksekusi kode arbitrer. Kerentanan ini diidentifikasi di Google Chrome sebelum 116.0.5845.187 dan di `libwebp` sebelum versi 1.3.2 serta dicantumkan dalam CVE-2023-4863.

Tinggi CVE-2023-4863

GCP-2023-035

Dipublikasikan: 26-10-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Update 21-11-2023: Perjelas bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi yang di-patch dan sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

Dipublikasikan: 25-10-2023

Diperbarui: 27-10-2023

Deskripsi

Deskripsi Keparahan Notes

VMware mengungkapkan beberapa kerentanan di VMSA-2023-0023 yang memengaruhi komponen vCenter yang di-deploy di lingkungan pelanggan.

Dampak Cloud Customer Care

  • Kerentanan ini dapat dieksploitasi dengan mengakses port tertentu di Server vCenter. Porta ini tidak terekspos ke internet publik.
  • Jika port vCenter 2012/tcp, 2014/tcp, dan 2020/tcp Anda tidak dapat diakses oleh sistem yang tidak tepercaya, berarti Anda tidak terkena kerentanan ini.
  • Google telah memblokir port yang rentan di server vCenter, sehingga mencegah potensi eksploitasi dari kerentanan ini.
  • Selain itu, Google akan memastikan semua deployment server vCenter di masa mendatang tidak terekspos terhadap kerentanan ini.
  • Pada saat buletin ini dikirimkan, VMware tidak menyadari adanya eksploitasi "di luar sana". Untuk mengetahui detail selengkapnya, baca dokumentasi VMware untuk mengetahui informasi selengkapnya.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan lebih lanjut untuk saat ini

Penting CVE-2023-34048,CVE-2023-34056

GCP-2023-033

Dipublikasikan: 24-10-2023

Diperbarui: 21-11-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh dan workload GKE Sandbox tidak terpengaruh.


Update 21-11-2023: Perjelas bahwa hanya versi minor yang tercantum yang perlu melakukan upgrade ke versi yang di-patch dan sesuai untuk GKE.


Kerentanan berikut ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node Ubuntu dan Container-Optimized OS.

  • CVE-2023-3777

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3777

GCP-2023-032

Dipublikasikan: 13-10-2023

Diperbarui: 03-11-2023

Deskripsi

Deskripsi Keparahan Notes

Update 03-11-2023: Menambahkan masalah umum Apigee Edge untuk Private Cloud.

Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk layanan Apigee Ingress (Anthos Service Mesh) yang digunakan oleh Apigee X dan Apigee Hybrid. Kerentanan ini dapat menyebabkan DoS fungsi pengelolaan API Apigee.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat Buletin keamanan Apigee.

Tinggi CVE-2023-44487

GCP-2023-031

Dipublikasikan: 10-10-2023

Deskripsi

Deskripsi Keparahan Notes

Serangan denial of service dapat memengaruhi bidang data saat menggunakan protokol HTTP/2. Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Anthos Service Mesh.

Tinggi CVE-2023-44487

GCP-2023-030

Dipublikasikan: 10-10-2023

Diperbarui: 20-03-2024

Deskripsi

Deskripsi Keparahan Notes

Update 20-03-2024: Menambahkan versi patch untuk GKE di AWS dan GKE di Azure dengan patch terbaru untuk CVE-2023-44487.


Update 14-02-2024: Menambahkan versi patch untuk GKE di VMware.


Update 09-11-2023: Menambahkan CVE-2023-39325. Mengupdate versi GKE dengan patch terbaru untuk CVE-2023-44487 dan CVE-2023-39325.


Kerentanan Denial-of-Service (DoS) baru-baru ini ditemukan dalam beberapa implementasi protokol HTTP/2 (CVE-2023-44487), termasuk server HTTP golang yang digunakan oleh Kubernetes. Kerentanan ini dapat menyebabkan DoS bidang kontrol Google Kubernetes Engine (GKE). Cluster GKE dengan jaringan resmi yang dikonfigurasi dilindungi dengan membatasi akses jaringan, tetapi semua cluster lainnya akan terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Dipublikasikan: 03-10-2023

Deskripsi

Deskripsi Keparahan Catatan

TorchServe digunakan untuk menghosting model machine learning PyTorch untuk prediksi online. Vertex AI menyediakan container penayangan model PyTorch bawaan yang bergantung pada TorchServe. Kerentanan baru-baru ini ditemukan di TorchServe yang memungkinkan penyerang mengontrol deployment TorchServe jika API pengelolaan modelnya terekspos. Pelanggan dengan model PyTorch yang di-deploy ke prediksi online Vertex AI tidak terpengaruh oleh kerentanan ini, karena Vertex AI tidak mengekspos API pengelolaan model TorchServe. Pelanggan yang menggunakan TorchServe di luar Vertex AI harus melakukan tindakan pencegahan untuk memastikan deployment mereka disiapkan dengan aman.

Apa yang sebaiknya saya lakukan?

Pelanggan Vertex AI dengan model yang di-deploy menggunakan container penayangan PyTorch bawaan Vertex AI tidak perlu melakukan tindakan apa pun untuk mengatasi kerentanan tersebut, karena deployment Vertex AI tidak mengekspos server pengelolaan TorchServe ke internet.

Pelanggan yang menggunakan container PyTorch bawaan dalam konteks lain, atau yang menggunakan distribusi TorchServe yang dibuat khusus atau dari pihak ketiga harus melakukan hal berikut:

  • Pastikan API pengelolaan model TorchServe tidak terekspos ke internet. API pengelolaan model dapat dibatasi untuk akses lokal hanya dengan memastikan bahwa management_address terikat dengan 127.0.0.1.
  • Gunakan setelan allowed_urls untuk memastikan bahwa model hanya dapat dimuat dari sumber yang diinginkan.
  • Upgrade TorchServe ke versi 0.8.2, yang mencakup mitigasi untuk masalah ini, sesegera mungkin. Sebagai tindakan pencegahan, Vertex AI akan merilis container bawaan tetap pada 13-10-2023.

Kerentanan apa yang ditangani?

API pengelolaan TorchServe terikat pada 0.0.0.0 secara default di sebagian besar image Docker TorchServe, termasuk yang dirilis oleh Vertex AI, sehingga dapat diakses oleh permintaan eksternal. Alamat IP default untuk API pengelolaan diubah menjadi 127.0.0.1 di TorchServe 0.8.2, sehingga dapat memitigasi masalah ini.

CVE-2023-43654 dan CVE-2022-1471 memungkinkan pengguna dengan akses ke API pengelolaan dapat memuat model dari sumber arbitrer dan mengeksekusi kode dari jarak jauh. Mitigasi untuk kedua masalah ini tercakup dalam TorchServe 0.8.2: jalur eksekusi kode jarak jauh akan dihapus, dan peringatan akan dimunculkan jika nilai default untuk allowed_urls digunakan.

Tinggi CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Dipublikasikan: 19-09-2023

Deskripsi

Deskripsi Keparahan Notes

Pelanggan dapat mengonfigurasi Chronicle untuk menyerap data dari bucket Cloud Storage milik pelanggan menggunakan feed penyerapan. Hingga baru-baru ini, Chronicle menyediakan akun layanan bersama yang digunakan pelanggan untuk memberikan izin ke bucket. Terdapat peluang sehingga instance Chronicle milik salah satu pelanggan dapat dikonfigurasi untuk menyerap data dari bucket Cloud Storage pelanggan lain. Setelah melakukan analisis dampak, kami tidak menemukan eksploitasi saat ini atau sebelumnya dari kerentanan ini. Kerentanan ada di semua versi Chronicle sebelum 19 September 2023.

Apa yang sebaiknya saya lakukan?

Mulai 19 September 2023, Chronicle telah diupdate untuk mengatasi kerentanan ini. Pelanggan tidak perlu melakukan tindakan apa pun.

Kerentanan apa yang ditangani?

Sebelumnya, Chronicle menyediakan akun layanan bersama yang digunakan pelanggan untuk memberikan izin ke bucket. Karena beberapa pelanggan memberikan izin akun layanan Chronicle yang sama ke bucket mereka, muncul vektor eksploitasi yang memungkinkan satu feed pelanggan mengakses bucket pelanggan yang berbeda saat feed dibuat atau diubah. Vektor eksploitasi ini memerlukan pengetahuan tentang URI bucket. Kini, selama pembuatan atau perubahan feed, Chronicle menggunakan akun layanan unik untuk setiap pelanggan.

Tinggi

GCP-2023-027

Dipublikasikan: 11-09-2023
Deskripsi Keparahan Notes

Pembaruan VMware vCenter Server mengatasi beberapa kerentanan kerusakan memori (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Dampak Layanan Pelanggan

VMware vCenter Server (vCenter Server) dan VMware Cloud Foundation (Cloud Foundation).

Apa yang harus saya lakukan?

Pelanggan tidak akan terpengaruh dan tidak ada tindakan yang perlu dilakukan.

Sedang

GCP-2023-026

Dipublikasikan: 06-09-2023

Deskripsi

Deskripsi Keparahan Notes

Tiga kerentanan (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) telah ditemukan di Kubernetes, tempat pengguna yang dapat membuat Pod pada node Windows mungkin dapat mengeskalasi ke hak istimewa admin pada node tersebut. Kerentanan ini memengaruhi Kubelet versi Windows dan proxy Kubernetes CSI.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Dipublikasikan: 08-08-2023
Deskripsi Keparahan Notes

Intel baru-baru ini mengumumkan Intel Security Advisory INTEL-SA-00828 yang memengaruhi beberapa kelompok prosesor mereka. Anda dianjurkan untuk menilai risiko berdasarkan saran tersebut.

Dampak Google Cloud VMware Engine

Armada kami menggunakan kelompok prosesor yang terkena dampak. Dalam deployment kami, seluruh server dikhususkan untuk satu pelanggan. Oleh karena itu, model deployment kami tidak menambahkan risiko tambahan pada penilaian Anda tentang kerentanan ini.

Kami bekerja sama dengan partner untuk mendapatkan patch yang diperlukan dan akan men-deploy patch ini secara prioritas di seluruh fleet menggunakan proses upgrade standar dalam beberapa minggu ke depan.

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan apa pun. Kami sedang berupaya mengupgrade semua sistem yang terpengaruh.

Tinggi

GCP-2023-024

Dipublikasikan: 08-08-2023

Diperbarui: 10-08-2023

Deskripsi

Deskripsi Keparahan Notes

Update 10-08-2023: Nomor versi LTS ChromeOS ditambahkan.


Intel mengungkapkan kerentanan di prosesor tertentu (CVE-2022-40982). Google telah mengambil langkah-langkah untuk memitigasi perangkat servernya, termasuk Google Cloud, untuk memastikan pelanggan terlindungi.

Detail kerentanan:

  • CVE-2022-40982 (Intel IPU 2023.3, "GDS" alias "Downfall")

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun.

Semua patch yang tersedia telah diterapkan ke fleet server Google untuk Google Cloud, termasuk Google Compute Engine.

Saat ini, produk berikut memerlukan pembaruan tambahan dari partner dan vendor.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Solusi Bare Metal Google Cloud
  • Paket Core yang Berkembang

Google akan memperbaiki produk ini setelah patch ini tersedia, dan buletin ini akan diperbarui sebagaimana mestinya.

Pelanggan Google Chromebook dan ChromeOS Flex secara otomatis menerima mitigasi yang disediakan Intel dalam Stabil (115), LTS (108), Beta (116), dan LTC (114). Pelanggan Chromebook dan ChromeOS Flex yang disematkan ke rilis lama harus mempertimbangkan untuk melepas pin dan beralih ke rilis Stabil atau LTS untuk memastikan mereka menerima perbaikan ini dan perbaikan kerentanan lainnya.

Kerentanan apa yang ditangani?

CVE-2022-40982 - Untuk informasi selengkapnya, lihat Intel Security Advisory INTEL-SA-00828.

Tinggi CVE-2022-40982

GCP-2023-023

Dipublikasikan: 08-08-2023

Deskripsi

Deskripsi Keparahan Notes

AMD mengungkapkan kerentanan di prosesor tertentu (CVE-2023-20569). Google telah mengambil langkah-langkah untuk memitigasi perangkat servernya, termasuk Google Cloud, untuk memastikan pelanggan terlindungi.

Detail kerentanan:

  • CVE-2023-20569 (AMD SB-7005 alias "Inception")

Apa yang sebaiknya saya lakukan?

Pengguna VM Compute Engine harus mempertimbangkan mitigasi yang disediakan OS jika menggunakan eksekusi kode tidak tepercaya intra-instance. Sebaiknya pelanggan menghubungi vendor OS untuk mendapatkan panduan yang lebih spesifik.

Perbaikan telah diterapkan ke fleet server Google untuk Google Cloud, termasuk Google Compute Engine.

Kerentanan apa yang ditangani?

CVE-2023-20569 - Untuk informasi selengkapnya, lihat AMD SB-7005.

Sedang CVE-2023-20569

GCP-2023-022

Dipublikasikan: 03-08-2023

Deskripsi

Deskripsi Keparahan Notes

Google mengidentifikasi kerentanan dalam Implementasi gRPC C++ sebelum rilis 1.57. Ini adalah kerentanan Denial-of-Service dalam implementasi C++ gRPC. Masalah ini telah diperbaiki dalam rilis 1.53.2, 1.54.3, 1.55.2, 1.56.2, dan 1.57.

Apa yang sebaiknya saya lakukan?

Pastikan Anda menggunakan versi terbaru paket software berikut:

  • gRPC (C++, Python, Ruby) versi 1.53, 1.54, 1.55, dan 1.56 harus diupgrade ke rilis patch berikut:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • gRPC (C++, Python, Ruby) versi 1.52 dan yang lebih lama harus mengupgrade ke salah satu rilis patch yang disetujui. Misalnya, 1.53.2, 1.54.3, 1.53.4, dll.

Kerentanan apa yang ditangani?

Patch ini mengurangi kerentanan berikut:

  • Kerentanan Denial-Of-Service dalam implementasi gRPC C++: Permintaan yang dibuat khusus dapat menyebabkan penghentian koneksi antara proxy dan backend.
Tinggi CVE-2023-33953

GCP-2023-021

Updated:2023-07-26

Published:2023-07-25

Deskripsi

Deskripsi Keparahan Notes

CVE berikut mengekspos Anthos Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2023-35941: Klien berbahaya dapat membuat kredensial dengan validitas permanen dalam beberapa skenario tertentu. Misalnya, kombinasi host dan waktu habis masa berlaku dalam payload HMAC dapat selalu valid dalam pemeriksaan HMAC filter OAuth2.
  • CVE-2023-35942: Pencatat akses gRPC yang menggunakan cakupan global pemroses dapat menyebabkan error use-after-free saat pemroses dihabiskan. Hal ini dapat dipicu oleh update LDS dengan konfigurasi log akses gRPC yang sama.
  • CVE-2023-35943: Jika header origin dikonfigurasi untuk dihapus dengan request_headers_to_remove: origin, filter CORS akan segfault dan membuat error Envoy.
  • CVE-2023-35944: Penyerang dapat mengirim permintaan skema campuran untuk mengabaikan pemeriksaan skema di Envoy. Misalnya, jika permintaan dengan HTTP skema campuran dikirim ke filter OAuth2, permintaan tersebut akan gagal dalam pemeriksaan pencocokan persis untuk HTTP, dan memberi tahu endpoint jarak jauh bahwa skemanya adalah HTTPS, sehingga berpotensi mengabaikan pemeriksaan OAuth2 khusus untuk permintaan HTTP.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Anthos Service Mesh.

Tinggi

GCP-2023-020

Updated:2023-07-26

Dipublikasikan: 24-07-2023

Deskripsi

Deskripsi Keparahan Notes

AMD telah merilis update microcode yang mengatasi kerentanan keamanan hardware (CVE-2023-20593). Google telah menerapkan perbaikan yang diperlukan untuk kerentanan ini pada fleet servernya, termasuk server untuk Google Cloud Platform. Pengujian menunjukkan bahwa tidak ada dampak terhadap performa sistem.

Apa yang sebaiknya saya lakukan?

Pelanggan tidak perlu melakukan tindakan apa pun, karena perbaikan telah diterapkan ke fleet server Google untuk Google Cloud Platform.

Kerentanan apa yang ditangani?

CVE-2023-20593 mengatasi kerentanan di beberapa CPU AMD. Informasi selengkapnya dapat ditemukan di sini.

Tinggi CVE-2023-20593

GCP-2023-019

Published:2023-07-18

Deskripsi

Deskripsi Keparahan Notes

Kerentanan baru (CVE-2023-35945) telah ditemukan di Envoy. Di sana, respons yang dibuat khusus dari layanan upstream yang tidak tepercaya dapat menyebabkan denial of service melalui kehabisan memori. Hal ini disebabkan oleh codec HTTP/2 Envoy yang mungkin membocorkan peta header dan struktur pembukuan setelah menerima RST_STREAM yang langsung diikuti oleh frame GOAWAY dari server upstream.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Anthos Service Mesh.

Tinggi CVE-2023-35945

GCP-2023-018

Dipublikasikan: 27-06-2023

Deskripsi

Deskripsi Keparahan Notes

Kerentanan baru (CVE-2023-2235) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE Autopilot terpengaruh karena node GKE Autopilot selalu menggunakan image node OS yang Dioptimalkan untuk Container. Cluster GKE Standard dengan versi 1.25 atau yang lebih baru yang menjalankan image node OS yang Dioptimalkan untuk Container akan terpengaruh.

Cluster GKE tidak terpengaruh jika hanya menjalankan image node Ubuntu, atau menjalankan versi sebelum versi 1.25, atau menggunakan GKE Sandbox.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-2235

GCP-2023-017

Dipublikasikan: 26-06-2023

Diperbarui: 11-07-2023

Deskripsi

Deskripsi Keparahan Notes

Update 11-07-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-31436.


Kerentanan baru (CVE-2023-31436) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses pada node. Cluster GKE, termasuk cluster Autopilot, terpengaruh. Cluster GKE yang menggunakan GKE Sandbox tidak terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-31436

GCP-2023-016

Dipublikasikan: 26-06-2023

Deskripsi

Deskripsi Keparahan Notes

Sejumlah kerentanan telah ditemukan di Envoy, yang digunakan di Anthos Service Mesh yang memungkinkan penyerang berbahaya menyebabkan denial of service atau error Envoy. Hal ini dilaporkan secara terpisah sebagai GCP-2023-002.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

Dipublikasikan: 20-06-2023

Deskripsi

Deskripsi Keparahan Notes

Kerentanan baru, CVE-2023-0468, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa untuk meningkatkan hak istimewa ke root ketika io_poll_get_owned akan terus meningkatkan req->poll_refs pada setiap io_poll_wake kemudian meluap ke 0 yang akan fput req->file dua kali dan menyebabkan masalah refcount file struct. Cluster GKE, termasuk cluster Autopilot, dengan Container-Optimized OS yang menggunakan Kernel Linux versi 5.15 akan terpengaruh. Cluster GKE yang menggunakan image Ubuntu atau GKE Sandbox tidak akan terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang CVE-CVE-2023-0468

GCP-2023-014

Diperbarui: 11-08-2023
Dipublikasikan: 15-06-2023

Deskripsi

Deskripsi Keparahan Notes

Pembaruan 11-08-2023: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, GKE di Azure, dan Google Distributed Cloud Virtual for Bare Metal.


Ditemukan dua masalah keamanan baru di Kubernetes. Di Kubernetes, pengguna mungkin dapat meluncurkan container yang mengabaikan pembatasan kebijakan saat menggunakan container efemeral dan ImagePolicyWebhook (CVE-2023-2727) atau plugin penerimaan ServiceAccount (CVE-2023-2728).

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Dipublikasikan: 08-06-2023

Deskripsi

Deskripsi Keparahan Notes

Saat Anda mengaktifkan Cloud Build API pada sebuah project, Cloud Build akan otomatis membuat akun layanan default untuk menjalankan build atas nama Anda. Akun layanan Cloud Build ini sebelumnya memiliki izin IAM logging.privateLogEntries.list, yang memungkinkan build memiliki akses ke daftar log pribadi secara default. Izin ini kini telah dicabut dari akun layanan Cloud Build untuk mematuhi prinsip keamanan dengan hak istimewa terendah.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Cloud Build.

Rendah

GCP-2023-010

Dipublikasikan: 07-06-2023

Deskripsi

Deskripsi Keparahan Notes

Google mengidentifikasi tiga kerentanan baru dalam implementasi gRPC C ++. Kebijakan ini akan segera dipublikasikan secara publik sebagai CVE-2023-1428, CVE-2023-32731, dan CVE-2023-32732.

Pada bulan April, kami mengidentifikasi dua kerentanan dalam rilis 1.53 dan 1.54. Salah satunya adalah kerentanan Denial-of-Service dalam implementasi C++ gRPC dan kerentanan lainnya adalah kerentanan pemindahan data yang tidak sah jarak jauh. Masalah ini telah diperbaiki di rilis 1.53.1, 1.54.2, dan rilis yang lebih baru.

Sebelumnya pada bulan Maret, tim internal kami menemukan kerentanan Denial-of-Service dalam implementasi C++ gRPC saat melakukan aktivitas fuzzing rutin. Ditemukan dalam rilis gRPC 1.52, dan telah diperbaiki dalam rilis 1.52.2 dan 1.53.

Apa yang harus saya lakukan?

Pastikan Anda menggunakan versi terbaru paket software berikut:

  • grpc (C++, Python, Ruby) versi 1.52, 1.53, dan 1.54 harus diupgrade ke rilis patch berikut;
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • grpc (C++, Python, Ruby) versi 1.51 dan yang lebih lama tidak terpengaruh, sehingga pengguna dengan versi ini tidak dapat melakukan tindakan apa pun

Kerentanan apa yang ditangani oleh {i>patch<i} ini?

Patch ini mengurangi kerentanan berikut:

  • 1.53.1, 1.54.2 dan rilis yang lebih baru mengatasi masalah berikut: Kerentanan Denial-Of-Service dalam implementasi gRPC C++. Permintaan yang dibuat khusus dapat menyebabkan penghentian koneksi antara proxy dan backend. Kerentanan pemindahan data yang tidak sah dari jarak jauh: Desinkronisasi pada tabel HPACK karena batasan ukuran header dapat menyebabkan backend proxy membocorkan data header dari klien lain yang terhubung ke proxy.
  • 1.52.2, 1.53, dan rilis yang lebih baru mengatasi masalah berikut: Kerentanan Denial-of-Service dalam implementasi C++ gRPC. Mengurai beberapa permintaan yang dibuat secara khusus dapat menyebabkan error yang memengaruhi server.

Sebaiknya upgrade ke versi terbaru paket software berikut seperti yang tercantum di atas.

Tinggi (CVE-2023-1428, CVE-2023-32731). Sedang (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Dipublikasikan: 06-06-2023

Deskripsi

Deskripsi Keparahan Notes

Kerentanan baru (CVE-2023-2878) telah ditemukan di secrets-store-csi-driver di mana aktor yang memiliki akses ke log driver dapat mengamati token akun layanan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tidak ada CVE-2023-2878

GCP-2023-008

Dipublikasikan: 05-06-2023

Deskripsi

Deskripsi Keparahan Notes

Kerentanan baru (CVE-2023-1872) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-1872

GCP-2023-007

Dipublikasikan: 2023-06-02

Deskripsi

Deskripsi Keparahan Notes

Baru-baru ini ditemukan kerentanan di Cloud SQL untuk SQL Server yang memungkinkan akun administrator pelanggan membuat pemicu di database tempdb dan menggunakannya untuk mendapatkan hak istimewa sysadmin dalam instance. Hak istimewa sysadmin akan memberi penyerang akses ke database sistem dan akses sebagian ke mesin yang menjalankan instance SQL Server tersebut.

Google Cloud menyelesaikan masalah ini dengan mem-patch kerentanan keamanan paling lambat 1 Maret 2023. Google Cloud tidak menemukan instance pelanggan yang disusupi.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Cloud SQL.

Tinggi

GCP-2023-005

Dipublikasikan: 18-05-2023

Diperbarui: 06-06-2023

Deskripsi

Deskripsi Keparahan Notes

Update 06-06-2023: Versi GKE baru telah diupdate untuk menyertakan versi Ubuntu terbaru yang mem-patch CVE-2023-1281 dan CVE-2023-1829.


Dua kerentanan baru (CVE-2023-1281, CVE-2023-1829) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi akses ke root pada node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Dipublikasikan: 26-04-2023

Deskripsi

Deskripsi Keparahan Notes

Dua kerentanan (CVE-2023-1017 dan CVE-2023-1018) ditemukan di Trusted Platform Module (TPM) 2.0.

Kerentanan ini dapat memungkinkan penyerang canggih untuk mengeksploitasi 2 byte di luar batas baca/tulis di VM Compute Engine tertentu.

Untuk mendapatkan petunjuk dan detail selengkapnya, lihat buletin keamanan Compute Engine.

Sedang

GCP-2023-003

Dipublikasikan: 11-04-2023

Diperbarui: 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Dua kerentanan baru, CVE-2023-0240 dan CVE-2023-23586, telah ditemukan di kernel Linux yang dapat mengizinkan pengguna yang tidak memiliki hak istimewa untuk meningkatkan hak istimewa.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Deskripsi

Deskripsi Keparahan Notes

CVE berikut mengekspos Anthos Service Mesh ke kerentanan yang dapat dieksploitasi:

  • CVE-2023-27496: Jika Envoy berjalan dengan filter OAuth diaktifkan, pelaku kejahatan dapat membuat permintaan yang akan menyebabkan denial of service dengan membuat Envoy error.
  • CVE-2023-27488: Penyerang dapat menggunakan kerentanan ini untuk mengabaikan pemeriksaan autentikasi saat ext_authz digunakan.
  • CVE-2023-27493: Konfigurasi Envoy juga harus menyertakan opsi untuk menambahkan header permintaan yang dibuat menggunakan input dari permintaan, seperti sertifikat pembanding SAN.
  • CVE-2023-27492: Penyerang dapat mengirim badan permintaan besar untuk rute yang mengaktifkan filter Lua dan memicu error.
  • CVE-2023-27491: Penyerang dapat mengirim permintaan HTTP/2 atau HTTP/3 yang dibuat khusus untuk memicu penguraian error pada layanan upstream HTTP/1.
  • CVE-2023-27487: Header `x-envoy-original-path` harus berupa header internal, tetapi Envoy tidak menghapus header ini dari permintaan di awal pemrosesan permintaan saat dikirim dari klien yang tidak tepercaya.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Anthos Service Mesh:

Tinggi

GCP-2023-001

Dipublikasikan: 01-03-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Kerentanan baru (CVE-2022-4696) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa pada node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-4696

GCP-2022-026

Dipublikasikan: 11-01-2023

Deskripsi

Deskripsi Keparahan Notes

Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang

GCP-2022-025

Dipublikasikan: 21-12-2022
Diperbarui: 21-01-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Update 19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 tersedia.


Dua kerentanan baru (CVE-2022-3786 dan CVE-2022-3602) telah ditemukan di OpenSSL v3.0.6 yang berpotensi menyebabkan error.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Sedang

GCP-2022-024

Dipublikasikan: 09-11-2022

Diperbarui: 19-01-2023

Deskripsi

Deskripsi Keparahan Notes

Update 19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 tersedia.

Update 16-12-2022: Menambahkan versi patch untuk GKE dan GKE di VMware.


Dua kerentanan baru (CVE-2022-2585 dan CVE-2022-2588) telah ditemukan di kernel Linux yang dapat menyebabkan container penuh untuk di-root pada node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tinggi

GCP-2022-023

Dipublikasikan: 04-11-2022

Deskripsi

Deskripsi Keparahan Notes

Kerentanan keamanan, CVE-2022-39278, telah ditemukan di Istio, yang digunakan di Anthos Service Mesh, yang memungkinkan penyerang berbahaya membuat error pada bidang kontrol.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-39278

GCP-2022-022

Dipublikasikan: 28-10-2022

Diperbarui: 14-12-2022

Deskripsi

Deskripsi Keparahan Notes

Update 14-12-2022: Menambahkan versi patch untuk GKE dan GKE di VMware.


Kerentanan baru, CVE-2022-20409, telah ditemukan di kernel Linux yang dapat memungkinkan pengguna yang tidak memiliki hak istimewa untuk mengeskalasi ke hak istimewa eksekusi sistem.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-20409

GCP-2022-021

Dipublikasikan: 27-10-2022

Diperbarui: 19-01-2023, 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Update 19-01-2023: Menambahkan informasi bahwa GKE versi 1.21.14-gke.14100 tersedia.

Update 15-12-2022: Informasi terbaru bahwa Google Kubernetes Engine versi 1.21.14-gke.9400 sedang menunggu peluncuran dan mungkin digantikan dengan nomor versi yang lebih tinggi.

Update 22-11-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.


Kerentanan baru, CVE-2022-3176, telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-3176

GCP-2022-020

Dipublikasikan: 05-10-2022

Diperbarui: 12-10-2022

Deskripsi

Deskripsi Keparahan Notes

Bidang kontrol Istio istiod rentan terhadap error pemrosesan permintaan, sehingga memungkinkan penyerang berbahaya yang mengirim pesan yang dibuat khusus yang mengakibatkan error pada bidang kontrol saat webhook yang memvalidasi untuk cluster terekspos secara publik. Endpoint ini disalurkan melalui port TLS 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Anthos Service Mesh.

Tinggi CVE-2022-39278

GCP-2022-019

Dipublikasikan: 22-09-2022

Deskripsi

Deskripsi Keparahan Notes

Kerentanan penguraian pesan dan pengelolaan memori dalam implementasi C++ dan Python ProtocolBuffer dapat memicu kegagalan memori (OOM) habis saat memproses pesan yang dibuat khusus. Hal ini dapat menyebabkan denial of service (DoS) pada layanan yang menggunakan library.

Apa yang harus saya lakukan?

Pastikan Anda menggunakan versi terbaru paket software berikut:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Jenis kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi jenis kerentanan berikut:

Pesan kecil yang dibuat secara khusus yang menyebabkan layanan yang sedang berjalan mengalokasikan RAM dalam jumlah besar. Ukuran permintaan yang kecil mengindikasikan kemudahan untuk memanfaatkan kerentanan dan resource yang terbatas. Sistem C++ dan Python yang menggunakan protobuf yang tidak tepercaya akan rentan terhadap serangan DoS jika berisi objek MessageSet dalam permintaan RPC-nya.

Sedang CVE-2022-1941

GCP-2022-018

Dipublikasikan: 01-08-2022

Diperbarui: 14-09-2022, 21-12-2023

Deskripsi

Deskripsi Keparahan Notes

Update 21-12-2023: Memperjelas bahwa cluster Autopilot GKE dalam konfigurasi default tidak terpengaruh.


Update 14-09-2022: Menambahkan versi patch untuk GKE di VMware, GKE di AWS, dan GKE di Azure.


Kerentanan baru (CVE-2022-2327) telah ditemukan di kernel Linux yang dapat menyebabkan eskalasi hak istimewa lokal. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa mencapai perincian container penuh untuk root pada node.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi CVE-2022-2327

GCP-2022-017

Dipublikasikan: 29-06-2022
Diperbarui: 2022-11-22

Deskripsi

Deskripsi Keparahan Notes

Update 22-11-2022: Beban kerja yang menggunakan GKE Sandbox tidak terpengaruh oleh kerentanan ini.


Update 21-07-2022: informasi tambahan tentang GKE di VMware.


Kerentanan baru (CVE-2022-1786) telah ditemukan di kernel Linux versi 5.10 dan 5.11. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh untuk melakukan root pada node tersebut. Hanya cluster yang menjalankan Container-Optimized OS yang terpengaruh. GKE Ubuntu versi menggunakan kernel versi 5.4 atau 5.15 dan tidak akan terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tinggi CVE-2022-1786

GCP-2022-016

Dipublikasikan: 23-06-2022
Diperbarui: 22-11-2022

Deskripsi

Deskripsi Keparahan Notes

Update 22-11-2022: Cluster autopilot tidak terpengaruh oleh CVE-2022-29581, tetapi rentan terhadap CVE-2022-29582 dan CVE-2022-1116.


Tiga kerentanan kerusakan memori baru (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) telah ditemukan di kernel Linux. Kerentanan ini memungkinkan pengguna yang tidak memiliki hak istimewa yang memiliki akses lokal ke cluster untuk mencapai perincian container penuh agar dapat melakukan root pada node tersebut. Semua cluster Linux (Container-Optimized OS dan Ubuntu) akan terpengaruh.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin berikut:

Tinggi

GCP-2022-015

Dipublikasikan: 2022-06-09
Diperbarui: 2022-06-10

Deskripsi

Deskripsi Keparahan Notes

Update 10-06-2022: Versi Anthos Service Mesh telah diupdate. Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Anthos Service Mesh.


Envoy dan Istio CVE berikut mengekspos Anthos Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2022-31045: Bidang data Istio berpotensi mengakses memori secara tidak aman saat ekstensi Pertukaran Metadata dan Statistik diaktifkan.
  • CVE-2022-29225: Data dapat melebihi batas buffer menengah jika penyerang berbahaya melewati payload kecil yang sangat terkompresi (serangan bom zip).
  • CVE-2021-29224: Potensi dereferensi pointer null di GrpcHealthCheckerImpl.
  • CVE-2021-29226: Filter OAuth memungkinkan pengabaian trivial.
  • CVE-2022-29228: Filter OAuth dapat merusak memori (versi sebelumnya) atau memicu ASSERT() (versi lebih baru).
  • CVE-2022-29227: Pengalihan internal error untuk permintaan dengan isi atau cuplikan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Anthos Service Mesh.

Penting

GCP-2022-014

Dipublikasikan: 26-04-2022
Diperbarui: 2022-11-22

Deskripsi

Deskripsi Keparahan Notes

Update 22-11-2022: Cluster dan workload GKE Autopilot yang berjalan di GKE Sandbox tidak terpengaruh.


Update 12-05-2022: GKE di AWS dan GKE pada versi Azure telah diupdate. Untuk mendapatkan petunjuk dan detail selengkapnya, lihat:

Dua kerentanan keamanan, CVE-2022-1055 dan CVE-2022-27666 telah ditemukan di kernel Linux. Setiap opsi tersebut dapat menyebabkan penyerang lokal dapat melakukan pengelompokan container, eskalasi akses pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node GKE (Container-Optimized OS dan Ubuntu). Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Dipublikasikan: 2022-04-11
Diperbarui: 2022-04-22

Deskripsi

Deskripsi Keparahan Notes

Kerentanan keamanan, CVE-2022-23648, telah ditemukan dalam penanganan path traversal dalam spesifikasi volume gambar OCI. Container yang diluncurkan melalui implementasi CRI dalam container dengan konfigurasi image yang dibuat khusus dapat memperoleh akses baca penuh ke sembarang file dan direktori di host. Kerentanan ini dapat mengabaikan penerapan berbasis kebijakan pada penyiapan container (termasuk Kebijakan Keamanan Pod Kubernetes).

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Sedang CVE-2022-23648

GCP-2022-012

Dipublikasikan: 2022-04-07
Diperbarui: 2022-11-22

Deskripsi

Deskripsi Keparahan Notes

Update 22-11-2022: Untuk cluster GKE dalam kedua mode, yaitu Standar dan Autopilot, beban kerja yang menggunakan GKE Sandbox tidak terpengaruh.


Kerentanan keamanan, CVE-2022-0847, telah ditemukan di kernel Linux versi 5.8 dan yang lebih baru yang berpotensi mengeskalasikan hak istimewa container ke root. Kerentanan ini memengaruhi produk berikut:

  • Kumpulan node GKE versi 1.22 dan yang lebih baru yang menggunakan Container-Optimized OS image (Container-Optimized OS 93 dan yang lebih baru)
  • GKE di VMware v1.10 untuk image OS yang Dioptimalkan untuk Container
  • GKE pada AWS v1.21 dan GKE pada AWS (generasi sebelumnya) v1.19, v1.20, v1.21, yang menggunakan Ubuntu
  • Cluster GKE terkelola di Azure v1.21 yang menggunakan Ubuntu

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2022-0847

GCP-2022-011

Dipublikasikan: 22-03-2022
Diperbarui: 2022-08-11

Deskripsi

Deskripsi Tingkat keparahan

Update 11-08-2022: Menambahkan informasi selengkapnya tentang konfigurasi Multi-Threading (SMT) Simultan. SMT dimaksudkan untuk dinonaktifkan, tetapi diaktifkan pada versi yang tercantum.

Jika Anda mengaktifkan SMT secara manual untuk kumpulan node yang di-sandbox, SMT akan tetap diaktifkan secara manual meskipun terjadi masalah ini.


Terdapat kesalahan konfigurasi dengan Simultaneous Multi-Threading (SMT), juga dikenal sebagai Hyper-threading, pada image GKE Sandbox. Kesalahan konfigurasi ini membuat node berpotensi terkena serangan saluran samping seperti Sampling Data Mikroarsitektur (MDS) (untuk konteks lebih lanjut, lihat dokumentasi GKE Sandbox). Sebaiknya jangan gunakan versi yang terpengaruh berikut:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Untuk mendapatkan petunjuk dan detail selengkapnya, lihat: buletin keamanan GKE.

Sedang

GCP-2022-010

Deskripsi

Deskripsi Keparahan Notes

Istio CVE berikut mengekspos Anthos Service Mesh ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2022-24726: Bidang kontrol Istio, `istiod`, rentan terhadap error pemrosesan permintaan, sehingga memungkinkan penyerang berbahaya yang mengirim pesan yang dibuat khusus sehingga bidang kontrol error saat webhook yang divalidasi untuk cluster terekspos secara publik. Endpoint ini disalurkan melalui port TLS 15017, tetapi tidak memerlukan autentikasi apa pun dari penyerang.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi

GCP-2022-009

Dipublikasikan: 01-03-2022

Deskripsi

Deskripsi Tingkat keparahan

Beberapa jalur yang tidak terduga untuk mengakses VM node di cluster GKE Autopilot dapat digunakan untuk mengeskalasikan hak istimewa di cluster. Masalah ini telah diperbaiki dan tidak ada tindakan lebih lanjut yang perlu dilakukan. Perbaikan ini mengatasi masalah yang dilaporkan melalui Program Reward Kerentanan kami.

Untuk mendapatkan petunjuk dan detail selengkapnya, lihat buletin keamanan GKE

Rendah

GCP-2022-008

Dipublikasikan: 23-02-2022
Diperbarui: 2022-04-28

Deskripsi

Deskripsi Keparahan Notes

Update 28-04-2022: Menambahkan versi GKE di VMware untuk memperbaiki kerentanan ini. Untuk mengetahui detailnya, lihat buletin keamanan GKE pada VMware.


Project Envoy baru-baru ini menemukan serangkaian kerentanan. Semua masalah yang tercantum di bawah ini telah diperbaiki dalam rilis Envoy 1.21.1.
  • CVE-2022-23606: Saat cluster dihapus melalui Cluster Discovery Service (CDS), semua koneksi tidak ada aktivitas yang dibuat ke endpoint dalam cluster tersebut akan terputus. Rekursi diperkenalkan secara keliru dalam Envoy versi 1.19 pada prosedur memutuskan koneksi tidak ada aktivitas yang dapat menyebabkan kehabisan stack dan penghentian proses yang tidak normal saat cluster memiliki banyak koneksi yang tidak ada aktivitas.
  • CVE-2022-21655: Kode pengalihan internal Envoy mengasumsikan bahwa entri rute ada. Jika pengalihan internal dilakukan ke rute yang memiliki entri respons langsung dan tanpa entri rute, pengalihan tersebut akan mengakibatkan dereferensi pointer null dan error.
  • CVE-2021-43826: Saat Envoy dikonfigurasi untuk menggunakan tcp_proxy yang menggunakan tunneling upstream (melalui HTTP), dan penghentian TLS downstream, Envoy akan mengalami error jika klien downstream terputus selama TLS handshake saat aliran HTTP upstream masih dibuat. Pemutusan koneksi downstream dapat dimulai oleh klien atau server. Klien dapat memutuskan koneksi karena alasan apa pun. Server dapat terputus jika, misalnya, tidak memiliki cipher TLS atau versi protokol TLS yang kompatibel dengan klien. Error ini mungkin juga dipicu pada konfigurasi downstream lainnya.
  • CVE-2021-43825: Mengirim respons yang dibuat secara lokal harus menghentikan pemrosesan data permintaan atau respons lebih lanjut. Envoy melacak jumlah data permintaan dan respons yang di-buffer, serta membatalkan permintaan jika jumlah data yang di-buffer melebihi batas dengan mengirimkan respons 413 atau 500. Namun, jika respons yang dihasilkan secara lokal dikirim karena buffer internal meluap saat respons diproses oleh rantai filter, operasi tersebut mungkin tidak dibatalkan dengan benar dan mengakibatkan akses ke blok memori yang dibebaskan.
  • CVE-2021-43824: Envoy mengalami error saat menggunakan filter JWT dengan aturan pencocokan "safe_regex" dan permintaan yang dibuat khusus seperti "CONNECT host:port HTTP/1.1". Saat mencapai filter JWT, aturan "safe_regex" harus mengevaluasi jalur URL, tetapi tidak ada satu pun di sini, dan Envoy mengalami error dengan segfault.
  • CVE-2022-21654: Envoy akan salah mengizinkan dimulainya kembali sesi TLS setelah setelan validasi mTLS dikonfigurasi ulang. Jika sertifikat klien diizinkan dengan konfigurasi lama, tetapi tidak diizinkan dengan konfigurasi baru, klien dapat melanjutkan sesi TLS sebelumnya meskipun konfigurasi saat ini seharusnya melarangnya. Perubahan pada setelan berikut akan terpengaruh:
    • match_subject_alt_names
    • Perubahan CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: Envoy tidak membatasi kumpulan sertifikat yang diterimanya dari peer, baik sebagai klien TLS maupun server TLS, hanya untuk sertifikat yang berisi extendedKeyUsage yang diperlukan (masing-masing id-kp-serverAuth dan id-kp-clientAuth). Artinya, peer dapat memberikan sertifikat email (misalnya id-kp-emailProtection), baik sebagai sertifikat entitas akhir atau sebagai CA dalam rantai, dan akan diterima untuk TLS. Hal ini sangat buruk jika digabungkan dengan CVE-2022-21656 , karena mengizinkan CA PKI Web yang dimaksudkan hanya untuk digunakan dengan S/MIME, sehingga dikecualikan dari audit atau pengawasan, untuk menerbitkan sertifikat TLS yang akan diterima oleh Envoy.
  • CVE-2022-21656: Implementasi validator yang digunakan untuk menerapkan rutinitas validasi sertifikat default memiliki bug "kebingungan jenis" saat memproses subjectAltNames. Pemrosesan ini memungkinkan, misalnya, rfc822Name atau uniformResourceIndicator diautentikasi sebagai nama domain. Kebingungan ini memungkinkan pengabaian nameConstraints, seperti yang diproses oleh implementasi OpenSSL/BoringSSL yang mendasarinya, sehingga mengekspos kemungkinan peniruan identitas server arbitrer.
Untuk petunjuk mendetail terkait produk tertentu, lihat buletin keamanan berikut:
Apa yang harus saya lakukan?
Pengguna Envoy yang mengelola Envoy mereka sendiri harus memastikan bahwa mereka menggunakan rilis Envoy 1.21.1. Pengguna Envoy yang mengelola Envoy sendiri akan mem-build biner dari sumber seperti GitHub dan men-deploy-nya.

Tidak ada tindakan yang perlu diambil oleh pengguna yang menjalankan Envoys terkelola (Google Cloud menyediakan biner Envoy), karena produk Google Cloud akan dialihkan ke versi 1.21.1.
Tinggi CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654CVE-2022-21657CVE-2022-21656

GCP-2022-007

Dipublikasikan: 22-02-2022

Deskripsi

Deskripsi Keparahan Notes

Envoy dan Istio CVE berikut mengekspos Anthos Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2022-23635: Istiod mengalami error saat menerima permintaan dengan header authorization yang dibuat khusus.
  • CVE-2021-43824: Potensi penghapusan referensi pointer null saat menggunakan pencocokan safe_regex filter JWT
  • CVE-2021-43825: Use-after-free saat filter respons meningkatkan data respons, dan peningkatan data melebihi batas buffer downstream.
  • CVE-2021-43826: Use-after-free saat melakukan tunneling TCP melalui HTTP, jika downstream terputus selama pembentukan koneksi upstream.
  • CVE-2022-21654: Penanganan konfigurasi yang salah memungkinkan penggunaan kembali sesi mTLS tanpa validasi ulang setelah setelan validasi berubah.
  • CVE-2022-21655: Penanganan pengalihan internal yang salah ke rute dengan entri respons langsung.
  • CVE-2022-23606: Kehabisan stack saat cluster dihapus melalui Cluster Discovery Service.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi

GCP-2022-006

Dipublikasikan: 14-02-2022
Diperbarui: 2022-05-16

Deskripsi

Deskripsi Keparahan Notes

Update 16-05-2022: Menambahkan GKE versi 1.19.16-gke.7800 atau yang lebih baru ke daftar versi yang memiliki kode untuk memperbaiki kerentanan ini. Untuk mengetahui detailnya, lihat buletin keamanan GKE.


Update 12-05-2022: GKE, GKE di VMware, GKE di AWS, dan GKE pada versi Azure telah diupdate. Untuk mendapatkan petunjuk dan detail selengkapnya, lihat:


Kerentanan keamanan, CVE-2022-0492, ditemukan dalam fungsi cgroup_release_agent_write kernel Linux. Serangan ini menggunakan namespace pengguna yang tidak memiliki hak istimewa dan dalam keadaan tertentu, kerentanan ini dapat dieksploitasi untuk adanya serangan container.

Rendah

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

GCP-2022-005

Dipublikasikan: 11-02-2022
Diperbarui: 2022-02-15

Deskripsi

Deskripsi Keparahan Notes

Kerentanan keamanan, CVE-2021-43527, telah ditemukan dalam biner apa pun yang terhubung ke versi rentan libnss3 yang ditemukan di versi NSS (Layanan Keamanan Jaringan) sebelum 3.73 atau 3.68.1. Aplikasi yang menggunakan NSS untuk validasi sertifikat atau fungsi TLS, X.509, OCSP, atau CRL lainnya mungkin terpengaruh, bergantung pada cara NSS digunakan/dikonfigurasi.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang CVE-2021-43527

GCP-2022-004

Dipublikasikan: 04-02-2022

Deskripsi

Deskripsi Keparahan Notes

Kerentanan keamanan, CVE-2021-4034, telah ditemukan di pkexec, yang merupakan bagian dari paket kit kebijakan Linux (polkit), yang memungkinkan pengguna terautentikasi untuk melakukan serangan eskalasi akses. PolicyKit umumnya hanya digunakan pada sistem desktop Linux untuk memungkinkan pengguna non-root melakukan tindakan seperti memulai ulang sistem, menginstal paket, memulai ulang layanan, dll., seperti yang diatur oleh kebijakan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tidak ada CVE-2021-4034

GCP-2022-002

Dipublikasikan: 2022-02-01
Diperbarui: 25-02-2022

Deskripsi

Deskripsi Keparahan Notes

Update 25-02-2022: Versi GKE telah diupdate. Untuk mendapatkan petunjuk dan detail selengkapnya, lihat:

Update 23-02-2022: Versi GKE dan GKE pada VMware telah diupdate. Untuk mendapatkan petunjuk dan detail selengkapnya, lihat:


Update 04-02-2022: Tanggal mulai peluncuran untuk versi patch GKE adalah 2 Februari.


Tiga kerentanan keamanan, CVE-2021-4154, CVE-2021-22600, dan CVE-2022-0185, telah ditemukan di kernel Linux, yang masing-masing dapat menyebabkan pelanggaran container, eskalasi hak istimewa pada host, atau keduanya. Kerentanan ini memengaruhi semua sistem operasi node (COS dan Ubuntu) di GKE, GKE di VMware, GKE di AWS (generasi saat ini dan sebelumnya), serta GKE di Azure. Pod yang menggunakan GKE Sandbox tidak rentan terhadap kerentanan ini. Lihat catatan rilis COS untuk detail selengkapnya.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tinggi

GCP-2022-001

Dipublikasikan: 06-01-2022

Deskripsi

Deskripsi Keparahan Notes

Potensi masalah Denial of Service pada protobuf-java ditemukan dalam prosedur penguraian untuk data biner.

Apa yang sebaiknya saya lakukan?

Pastikan Anda menggunakan versi terbaru paket software berikut:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [JRuby gem] (3.19.2)

Pengguna "javalite" protobuf (biasanya Android) tidak terpengaruh.

Kerentanan apa yang dapat diatasi oleh patch ini?

Patch ini mengurangi jenis kerentanan berikut:

Kelemahan implementasi dalam cara kolom yang tidak dikenal diuraikan di Java. Payload berbahaya berukuran kecil (sekitar 800 KB) dapat menempati parser selama beberapa menit dengan membuat sejumlah besar objek berumur singkat yang menyebabkan jeda pembersihan sampah memori yang sering dan berulang.

Tinggi CVE-2021-22569

GCP-2021-024

Dipublikasikan: 21-10-2021

Deskripsi

Deskripsi Keparahan Notes

Masalah keamanan ditemukan di pengontrol ingress-nginx Kubernetes, CVE-2021-25742. Cuplikan kustom Ingress-nginx memungkinkan pengambilan token dan secret akun layanan ingress-nginx di semua namespace.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tidak ada CVE-2021-25742

GCP-2021-019

Dipublikasikan: 29-09-2021

Deskripsi

Deskripsi Keparahan Notes

Ada masalah umum saat mengupdate resource BackendConfig menggunakan v1beta1 API akan menghapus kebijakan keamanan Google Cloud Armor yang aktif dari layanannya.

Untuk mendapatkan petunjuk dan detail selengkapnya, lihat buletin keamanan GKE.

Rendah

GCP-2021-022

Dipublikasikan: 22-09-2021

Deskripsi

Deskripsi Keparahan Notes

Kerentanan telah ditemukan di modul LDAP GKE Enterprise Identity Service (AIS) GKE pada VMware versi 1.8 dan 1.8.1, di mana kunci seed yang digunakan dalam membuat kunci dapat diprediksi. Dengan kerentanan ini, pengguna terautentikasi dapat menambahkan klaim arbitrer dan mengeskalasikan hak istimewa tanpa batas.

Untuk mendapatkan petunjuk dan detail selengkapnya, lihat buletin keamanan GKE di VMware.

Tinggi

GCP-2021-021

Dipublikasikan: 22-09-2021

Deskripsi

Deskripsi Keparahan Notes

Kerentanan keamanan, CVE-2020-8561, telah ditemukan di Kubernetes tempat webhook tertentu dapat dibuat untuk mengalihkan permintaan kube-apiserver ke jaringan pribadi server API tersebut.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang CVE-2020-8561

GCP-2021-023

Dipublikasikan: 21-09-2021

Deskripsi

Deskripsi Keparahan Notes

Sesuai dengan penasihat keamanan VMware VMSA-2021-0020, VMware menerima laporan tentang beberapa kerentanan di vCenter. VMware telah menyediakan update untuk memperbaiki kerentanan ini pada produk VMware yang terpengaruh.

Kami telah menerapkan patch yang disediakan oleh VMware untuk stack vSphere ke Google Cloud VMware Engine sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan di CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008, dan CVE-2021-22010. Masalah keamanan non-kritis lainnya akan ditangani dalam upgrade stack VMware mendatang (sesuai pemberitahuan awal yang dikirim pada Juli, detail selengkapnya akan segera diberikan di linimasa spesifik upgrade).

Dampak VMware Engine

Berdasarkan penyelidikan kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut.

Penting

GCP-2021-020

Dipublikasikan: 17-09-2021

Deskripsi

Deskripsi Keparahan Notes

Load balancer Google Cloud tertentu yang dirutekan ke Identity-Aware Proxy (IAP) yang mengaktifkan Backend Service mungkin akan rentan terhadap pihak yang tidak tepercaya dalam kondisi tertentu. Kerentanan ini membahas masalah yang dilaporkan melalui Program Reward Kerentanan kami.

Kondisinya adalah bahwa server:
  • Apakah load balancer HTTP(S) dan
  • Menggunakan backend default atau backend yang memiliki aturan pemetaan host pengganti (yaitu, host="*")

Selain itu, pengguna di organisasi Anda harus telah mengklik link yang dibuat secara khusus yang dikirim oleh pihak yang tidak tepercaya.

Masalah ini sekarang telah diperbaiki. IAP telah diupdate untuk menerbitkan cookie hanya bagi host yang diizinkan mulai 17 September 2021. Host dianggap sah jika cocok dengan setidaknya satu Nama Alternatif Subjek (SAN) di salah satu sertifikat yang diinstal di load balancer Anda.

Yang harus dilakukan

Beberapa pengguna mungkin mengalami respons HTTP 401 Tidak Sah dengan kode error 52 IAP saat mencoba mengakses aplikasi atau layanan. Kode error ini berarti bahwa klien mengirim header Host yang tidak cocok dengan Nama Alternatif Subjek apa pun yang terkait dengan sertifikat SSL load balancer. Administrator load balancer perlu memperbarui sertifikat SSL untuk memastikan bahwa daftar Nama Alternatif Subjek (SAN) berisi semua nama host yang digunakan pengguna untuk mengakses aplikasi atau layanan yang dilindungi IAP. Pelajari lebih lanjut Kode error IAP.

Tinggi

GCP-2021-018

Dipublikasikan: 15-09-2021
Diperbarui: 2021-09-20

Deskripsi

Deskripsi Keparahan Notes

Terdapat masalah keamanan di Kubernetes, CVE-2021-25741, tempat pengguna mungkin dapat membuat container dengan pemasangan volume subjalur guna mengakses file & direktori di luar volume, termasuk pada sistem file host.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tinggi CVE-2021-25741

GCP-2021-017

Dipublikasikan: 2021-09-01
Diperbarui: 2021-09-23

Deskripsi

Deskripsi Keparahan Notes

Update 23-09-2021: Container yang berjalan di dalam GKE Sandbox tidak terpengaruh oleh kerentanan ini terhadap serangan yang berasal dari dalam container.


Dua kerentanan keamanan, CVE-2021-33909 dan CVE-2021-33910, telah ditemukan di kernel Linux yang dapat menyebabkan error pada OS atau eskalasi ke root oleh pengguna yang tidak memiliki hak istimewa. Kerentanan ini memengaruhi semua sistem operasi node GKE (COS dan Ubuntu).

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Dipublikasikan: 24-08-2021

Deskripsi

Deskripsi Keparahan Notes

Envoy dan Istio CVE berikut mengekspos Anthos Service Mesh dan Istio di GKE ke kerentanan yang dapat dieksploitasi dari jarak jauh:

  • CVE-2021-39156: Permintaan HTTP dengan fragmen (bagian di akhir URI yang diawali dengan karakter #) di jalur URI dapat mengabaikan kebijakan otorisasi berbasis jalur URI Istio.
  • CVE-2021-39155: Permintaan HTTP berpotensi mengabaikan kebijakan otorisasi Istio saat menggunakan aturan berdasarkan hosts atau notHosts.
  • CVE-2021-32781: Memengaruhi ekstensi decompressor, json-transcoder, atau grpc-web Envoy atau ekstensi eksklusif yang mengubah dan meningkatkan ukuran isi permintaan atau respons. Memodifikasi dan meningkatkan ukuran tubuh dalam perluasan Envoy melebihi ukuran buffer internal bisa menyebabkan Envoy mengakses memori yang dibatalkan alokasinya dan berhenti secara tidak normal.
  • CVE-2021-32780: Layanan upstream yang tidak tepercaya dapat menyebabkan Envoy berhenti secara tidak normal dengan mengirim frame GOAWAY yang diikuti dengan frame SETTINGS dengan parameter SETTINGS_MAX_CONCURRENT_STREAMS yang ditetapkan ke 0. (Tidak berlaku untuk Istio di GKE)
  • CVE-2021-32778: Klien Envoy yang membuka dan mereset sejumlah besar permintaan HTTP/2 dapat menyebabkan konsumsi CPU yang berlebihan. (Tidak berlaku untuk Istio di GKE)
  • CVE-2021-32777: Permintaan HTTP dengan beberapa header nilai dapat melakukan pemeriksaan kebijakan otorisasi yang tidak lengkap saat ekstensi ext_authz digunakan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi

GCP-2021-015

Dipublikasikan: 13-07-2021
Diperbarui: 2021-07-15

Deskripsi

Deskripsi Keparahan Notes

Kerentanan keamanan baru, CVE-2021-22555, telah ditemukan di mana pelaku kejahatan dengan hak istimewa CAP_NET_ADMIN berpotensi menyebabkan pelanggaran container ke host. Kerentanan ini memengaruhi semua cluster GKE dan GKE di VMware yang menjalankan Linux versi 2.6.19 atau yang lebih baru.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tinggi CVE-2021-22555

GCP-2021-014

Dipublikasikan: 05-07-2021

Deskripsi

Deskripsi Keparahan Notes

Microsoft memublikasikan buletin keamanan pada kerentanan Eksekusi kode jarak jauh (RCE), CVE-2021-34527, yang memengaruhi spooler cetak di server Windows. CERT Coordination Center (CERT/CC) memublikasikan catatan pembaruan tentang kerentanan terkait, yang disebut "PrintNightmare" yang juga memengaruhi spooler cetak Windows - PrintNightmare, Critical Windows Print Spooler Vulnerability

Untuk mendapatkan petunjuk dan detail selengkapnya, lihat buletin keamanan GKE.

Tinggi CVE-2021-34527

GCP-2021-012

Dipublikasikan: 24-06-2021
Diperbarui: 2021-07-09

Deskripsi

Deskripsi Keparahan Notes

Project Istio baru-baru ini mengumumkan kerentanan keamanan dengan kredensial yang ditentukan dalam kolom Gateway dan DestinationRule credentialName dapat diakses dari berbagai namespace.

Untuk petunjuk khusus produk dan detail selengkapnya, lihat:

Tinggi CVE-2021-34824

GCP-2021-011

Dipublikasikan: 2021-06-04
Diperbarui: 2021-10-19

Deskripsi

Deskripsi Keparahan Notes

Pembaruan 19-10-2021:

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:


Komunitas keamanan baru-baru ini mengungkapkan kerentanan keamanan baru (CVE-2021-30465) yang ditemukan di runc yang berpotensi mengizinkan akses penuh ke sistem file node.

Untuk GKE, karena pemanfaatan kerentanan ini memerlukan kemampuan untuk membuat pod, kami telah menilai tingkat keparahan kerentanan ini di MEDIUM.

Untuk mendapatkan petunjuk dan detail selengkapnya, lihat buletin keamanan GKE.

Sedang CVE-2021-30465

GCP-2021-010

Dipublikasikan: 25-05-2021

Deskripsi

Deskripsi Keparahan Notes

Berdasarkan petunjuk keamanan VMware VMSA-2021-0010, kerentanan eksekusi kode jarak jauh dan autentikasi pengabaian di vSphere Client (HTML5) dilaporkan secara pribadi ke VMware. VMware telah menyediakan update untuk memperbaiki kerentanan ini pada produk VMware yang terpengaruh.

Kami telah menerapkan patch yang disediakan oleh VMware untuk stack vSphere sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan di CVE-2021-21985 dan CVE-2021-21986. Versi image yang berjalan di cloud pribadi VMware Engine Anda saat ini tidak mencerminkan perubahan apa pun untuk menunjukkan patch yang diterapkan. Anda tidak perlu khawatir karena patch yang sesuai telah diinstal dan lingkungan Anda dilindungi dari kerentanan ini.

Dampak VMware Engine

Berdasarkan penyelidikan kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut.

Penting

GCP-2021-008

Dipublikasikan: 17-05-2021

Deskripsi

Deskripsi Keparahan Notes

Istio memiliki kerentanan yang dapat dieksploitasi dari jarak jauh, yang memungkinkan klien eksternal mengakses layanan yang tidak terduga di cluster, sehingga mengabaikan pemeriksaan otorisasi, saat gateway dikonfigurasi dengan konfigurasi perutean AUTO_PASSTHROUGH.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Anthos Service Mesh.

Tinggi

CVE-2021-31921

GCP-2021-007

Dipublikasikan: 17-05-2021

Deskripsi

Deskripsi Keparahan Notes

Istio memiliki kerentanan yang dapat dieksploitasi dari jarak jauh, yang membuat jalur permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape (%2F atau %5C) berpotensi mengabaikan kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan Anthos Service Mesh.

Tinggi

CVE-2021-31920

GCP-2021-006

Dipublikasikan: 11-05-2021

Deskripsi

Deskripsi Keparahan Notes

Project Istio baru-baru ini disclosed kerentanan keamanan baru (CVE-2021-31920) yang memengaruhi Istio.

Istio memiliki kerentanan yang dapat dieksploitasi dari jarak jauh, yang membuat permintaan HTTP dengan beberapa garis miring atau karakter garis miring yang di-escape dapat mengabaikan kebijakan otorisasi Istio saat aturan otorisasi berbasis jalur digunakan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Tinggi

CVE-2021-31920

GCP-2021-005

Dipublikasikan: 11-05-2021

Deskripsi

Deskripsi Keparahan Notes

Kerentanan yang dilaporkan menunjukkan bahwa Envoy tidak mendekode rangkaian garis miring escape %2F dan %5C dalam jalur URL HTTP pada Envoy versi 1.18.2 dan yang lebih lama. Selain itu, beberapa produk berbasis Envoy tidak mengaktifkan kontrol normalisasi jalur. Penyerang jarak jauh dapat membuat jalur dengan garis miring yang di-escape (misalnya, /something%2F..%2Fadmin,), untuk mengabaikan kontrol akses (misalnya, blok di /admin). Server backend kemudian dapat mendekode urutan garis miring dan menormalisasi jalur untuk memberikan akses kepada penyerang di luar cakupan yang diberikan oleh kebijakan kontrol akses.

Apa yang harus saya lakukan?

Jika server backend memperlakukan / dan %2F atau \ dan %5C secara bergantian dan pencocokan berbasis jalur URL dikonfigurasi, sebaiknya konfigurasi ulang server backend agar tidak memperlakukan \ dan %2F atau \ dan %5C secara bergantian, jika memungkinkan.

Perubahan perilaku apa yang diperkenalkan?

Opsi normalize_path dan gabungan garis miring yang berdekatan dari Envoy diaktifkan untuk mengatasi kerentanan kebingungan jalur umum lainnya dalam produk berbasis Envoy.

Tinggi

CVE-2021-29492

GCP-2021-004

Dipublikasikan: 06-05-2021

Deskripsi

Deskripsi Keparahan Notes

Project Envoy dan Istio baru-baru ini mengumumkan beberapa kerentanan keamanan baru (CVE-2021-28683, CVE-2021-28682 dan CVE-2021-29258), yang dapat memungkinkan penyerang membuat error Envoy.

Cluster Google Kubernetes Engine tidak menjalankan Istio secara default dan tidak rentan. Jika Istio telah diinstal di cluster dan dikonfigurasi untuk mengekspos layanan ke internet, layanan tersebut mungkin rentan terhadap denial of service.

Google Distributed Cloud Virtual for Bare Metal dan GKE di VMware menggunakan Envoy secara default untuk Ingress, sehingga layanan Ingress mungkin rentan terhadap denial of service.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Sedang

GCP-2021-003

Dipublikasikan: 19-04-2021

Deskripsi

Deskripsi Keparahan Notes

Project Kubernetes baru-baru ini mengumumkan kerentanan keamanan baru, CVE-2021-25735, yang dapat memungkinkan update node mengabaikan Webhook Pendaftaran Validasi.

Dalam skenario di mana penyerang memiliki hak istimewa yang memadai dan ketika Webhook Validasi diterapkan yang menggunakan properti objek Node lama (misalnya kolom dalam Node.NodeSpec), penyerang dapat memperbarui properti node yang dapat menyebabkan penyusupan cluster. Tidak ada kebijakan yang diterapkan oleh GKE dan pengontrol akses bawaan Kubernetes yang terpengaruh, tetapi sebaiknya pelanggan memeriksa webhook akses masuk tambahan yang telah mereka instal.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Sedang

CVE-2021-25735

GCP-2021-002

Dipublikasikan: 05-03-2021

Deskripsi

Deskripsi Keparahan Notes

Sesuai dengan penasihat keamanan VMware VMSA-2021-0002, VMware menerima laporan tentang beberapa kerentanan di VMware ESXi dan vSphere Client (HTML5). VMware telah menyediakan update untuk memperbaiki kerentanan ini pada produk VMware yang terpengaruh.

Kami telah menerapkan solusi yang didokumentasikan secara resmi untuk stack vSphere sesuai dengan saran keamanan VMware. Update ini mengatasi kerentanan keamanan yang dijelaskan di CVE-2021-21972, CVE-2021-21973, dan CVE-2021-21974.

Dampak VMware Engine

Berdasarkan penyelidikan kami, tidak ada pelanggan yang terpengaruh.

Apa yang harus saya lakukan?

Karena cluster VMware Engine tidak terpengaruh oleh kerentanan ini, Anda tidak perlu melakukan tindakan lebih lanjut.

Penting

GCP-2021-001

Dipublikasikan: 28-01-2021

Deskripsi

Deskripsi Keparahan Notes

Kerentanan baru-baru ini ditemukan di utilitas Linux sudo, yang dijelaskan dalam CVE-2021-3156, yang dapat mengizinkan penyerang yang memiliki akses shell lokal tanpa hak istimewa pada sistem dengan sudo terinstal untuk mengeskalasikan hak istimewanya ke root pada sistem.

Infrastruktur dasar yang menjalankan Compute Engine tidak terpengaruh oleh kerentanan ini.

Semua cluster Google Kubernetes Engine (GKE), GKE di VMware, GKE di AWS, dan Google Distributed Cloud Virtual for Bare Metal tidak terpengaruh oleh kerentanan ini.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat buletin keamanan berikut:

Tidak ada CVE-2021-3156

GCP-2020-015

Dipublikasikan: 2020-12-07
Diperbarui: 2020-12-22

Deskripsi

Deskripsi Keparahan Notes

Diperbarui: 22-12-2021 Perintah untuk GKE di bagian berikut harus menggunakan gcloud beta, bukan perintah gcloud.


gcloud container clusters update –no-enable-service-externalips

Diperbarui: 15-12-2021 Untuk GKE, mitigasi berikut kini tersedia:
  1. Mulai GKE versi 1.21, layanan dengan ExternalIP diblokir oleh pengontrol penerimaan DenyServiceExternalIPs yang diaktifkan secara default untuk cluster baru.
  2. Pelanggan yang mengupgrade ke GKE versi 1.21 dapat memblokir layanan dengan ExternalIPs menggunakan perintah berikut:
    
    gcloud container clusters update –no-enable-service-externalips
    

Untuk mengetahui informasi selengkapnya, lihat Melakukan hardening pada keamanan cluster.


Project Kubernetes baru-baru ini menemukan kerentanan keamanan baru, CVE-2020-8554, yang dapat memungkinkan penyerang yang telah memperoleh izin untuk membuat Layanan Kubernetes jenis LoadBalancer atau ClusterIP untuk menangkap traffic jaringan yang berasal dari Pod lain dalam cluster tersebut. Kerentanan ini sendiri tidak memberikan izin kepada penyerang untuk membuat Layanan Kubernetes.

Semua Google Kubernetes Engine (GKE), GKE di VMware, dan GKE pada cluster AWS terpengaruh oleh kerentanan ini.

Apa yang harus saya lakukan?

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang

CVE-2020-8554

GCP-2020-014

Dipublikasikan: 20-10-2020
Diperbarui: 2020-10-20

Deskripsi

Deskripsi Keparahan Notes

Project Kubernetes baru-baru ini menemukan beberapa masalah yang memungkinkan eksposur data rahasia saat opsi logging panjang diaktifkan. Permasalahannya adalah:

  • CVE-2020-8563: Kebocoran rahasia di log untuk vSphere Provider kube-controller-manager
  • CVE-2020-8564: Rahasia konfigurasi Docker bocor saat file memiliki format yang salah dan loglevel >= 4
  • CVE-2020-8565: Perbaikan tidak lengkap untuk CVE-2019-11250 di Kubernetes memungkinkan kebocoran token di log saat logLevel >= 9. Ditemukan oleh GKE Security.
  • CVE-2020-8566: Ceph RBD adminSecrets diekspos dalam log saat loglevel >= 4

Apa yang harus saya lakukan?

Anda tidak perlu melakukan tindakan lebih lanjut karena level logging panjang default GKE.

Tidak ada

Dampak Google Cloud

Detail per produk tercantum di bawah.

Produk

Dampak

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) tidak terpengaruh.

GKE On-Prem

GKE On-Prem tidak terpengaruh.

GKE di AWS

GKE pada AWS tidak terpengaruh.

GCP-2020-013

Dipublikasikan: 29-09-2020

Deskripsi

Microsoft telah mengungkapkan kerentanan berikut:

Kerentanan

Tingkat keparahan

CVE

CVE-2020-1472 — Kerentanan di Windows Server memungkinkan penyerang menggunakan Netlogon Remote Protocol untuk menjalankan aplikasi yang dibuat khusus pada perangkat di jaringan.

Skor Dasar NVD: 10 (Kritis)

CVE-2020-1472

Untuk informasi selengkapnya, lihat pengungkapan Microsoft.

Dampak Google Cloud

Infrastruktur yang menghosting produk Google Cloud dan Google tidak terpengaruh oleh kerentanan ini. Detail per produk tambahan tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2020-1472

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Pelanggan yang menggunakan virtual machine Compute Engine yang menjalankan Windows Server harus memastikan instance mereka telah diupdate dengan patch Windows terbaru atau menggunakan image Windows Server yang dipublikasikan setelah 17-08-2020 (v20200813 atau yang lebih baru).

Google Kubernetes Engine

CVE-2020-1472

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Setiap pelanggan yang menghosting pengontrol domain di node GKE Windows Server mereka harus memastikan bahwa node dan workload dalam container yang dijalankan pada node tersebut memiliki image node Windows terbaru saat tersedia. Versi image node baru akan diumumkan di catatan rilis GKE pada bulan Oktober.

Layanan Terkelola untuk Microsoft Active Directory

CVE-2020-1472

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Patch bulan Agustus yang dirilis oleh Microsoft yang menyertakan perbaikan pada protokol NetLogon telah diterapkan ke semua pengontrol domain Microsoft AD Terkelola. Patch ini memberikan fungsi untuk melindungi dari potensi eksploitasi. Penerapan patch yang tepat waktu adalah salah satu keuntungan utama menggunakan Layanan Terkelola untuk Microsoft Active Directory. Setiap pelanggan yang menjalankan Microsoft Active Directory secara manual (dan tidak menggunakan layanan terkelola Google Cloud) harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server.

Google Workspace

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan standar App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan fleksibel App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Functions

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Composer

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataflow

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataproc

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud SQL

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

GCP-2020-012

Dipublikasikan: 14-09-2020
Diperbarui: 2020-09-17

Deskripsi

Deskripsi Keparahan Notes

Baru-baru ini ditemukan kerentanan di kernel Linux, yang dijelaskan dalam CVE-2020-14386, yang mungkin memungkinkan escape container untuk mendapatkan hak istimewa root di node host.

Semua node GKE terpengaruh. Pod yang berjalan di GKE Sandbox tidak dapat memanfaatkan kerentanan ini.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:


Kerentanan apa yang dapat diatasi oleh patch ini?

Patch mengurangi kerentanan berikut:

Kerentanan CVE-2020-14386, yang memungkinkan container dengan CAP_NET_RAW
menulis 1 hingga 10 byte memori kernel, dan mungkin meng-escape container serta mendapatkan hak istimewa root di node host. Kerentanan ini dinilai sebagai kerentanan dengan tingkat keparahan tinggi.

Tinggi

CVE-2020-14386

GCP-2020-011

Dipublikasikan: 24-07-2020

Deskripsi

Deskripsi Keparahan Notes

Kerentanan jaringan, CVE-2020-8558, baru-baru ini ditemukan di Kubernetes. Layanan terkadang berkomunikasi dengan aplikasi lain yang berjalan di dalam Pod yang sama menggunakan antarmuka loopback lokal (127.0.0.1). Kerentanan ini memungkinkan penyerang yang memiliki akses ke jaringan cluster untuk mengirim traffic ke antarmuka loopback Pod dan node yang berdekatan. Layanan yang mengandalkan antarmuka loopback yang tidak dapat diakses di luar Pod dapat dieksploitasi.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Rendah (GKE dan GKE di AWS),
Medium (GKE di VMware)

CVE-2020-8558

GCP-2020-010

Dipublikasikan: 27-07-2020

Deskripsi

Microsoft telah mengungkapkan kerentanan berikut:

Kerentanan

Tingkat keparahan

CVE

CVE-2020-1350 — Server Windows yang ditayangkan dalam kapasitas server DNS dapat dieksploitasi untuk menjalankan kode tidak tepercaya oleh Akun Sistem Lokal.

Skor Dasar NVD: 10.0 (Kritis)

CVE-2020-1350

Untuk informasi selengkapnya, lihat pengungkapan Microsoft.

Dampak Google Cloud

Infrastruktur yang menghosting produk Google Cloud dan Google tidak terpengaruh oleh kerentanan ini. Detail per produk tambahan tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2020-1350

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Pelanggan yang menggunakan virtual machine Compute Engine yang menjalankan Windows Server dalam kapasitas server DNS harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Pelanggan yang menggunakan GKE dengan node Windows Server dalam kapasitas server DNS harus secara manual memperbarui node dan workload dalam container yang berjalan pada node tersebut menjadi versi server Windows yang berisi perbaikan.

Layanan Terkelola untuk Microsoft Active Directory

CVE-2020-1350

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Semua domain Microsoft AD Terkelola telah otomatis diupdate dengan image yang di-patch. Setiap pelanggan yang menjalankan Microsoft Active Directory secara manual (dan tidak menggunakan Microsoft AD Terkelola) harus memastikan bahwa instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 14/07/2020.

Google Workspace

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan standar App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan fleksibel App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Functions

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Composer

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataflow

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataproc

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud SQL

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

GCP-2020-009

Dipublikasikan: 15-07-2020

Deskripsi

Deskripsi Keparahan Notes

Kerentanan eskalasi akses, CVE-2020-8559, baru-baru ini ditemukan di Kubernetes. Kerentanan ini memungkinkan penyerang yang telah menyusupi node untuk menjalankan perintah di Pod mana pun dalam cluster. Dengan demikian, penyerang dapat menggunakan node yang telah disusupi untuk menyusupi node lain dan berpotensi membaca informasi, atau menyebabkan tindakan destruktif.

Perlu diperhatikan bahwa agar penyerang mengeksploitasi kerentanan ini, node dalam cluster Anda harus sudah disusupi. Kerentanan ini dengan sendirinya tidak akan membahayakan node apa pun di cluster Anda.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang

CVE-2020-8559

GCP-2020-008

Dipublikasikan: 19-06-2020

Deskripsi

Deskripsi Keparahan Notes

Deskripsi

VM yang mengaktifkan Login OS mungkin rentan terhadap kerentanan eskalasi akses. Kerentanan ini memberi pengguna yang diberi izin Login OS (tetapi tidak diberi akses admin) kemampuan untuk melakukan eskalasi ke akses root di VM.

Untuk mendapatkan petunjuk dan detail selengkapnya, lihat buletin keamanan Compute Engine.

Tinggi

GCP-2020-007

Dipublikasikan: 01-06-2020

Deskripsi

Deskripsi Keparahan Notes

Kerentanan Pemalsuan Permintaan Sisi Server (SSRF), CVE-2020-8555, baru-baru ini ditemukan di Kubernetes, yang memungkinkan pengguna tertentu yang telah diberi otorisasi untuk membocorkan hingga 500 byte informasi sensitif dari jaringan host bidang kontrol. Bidang kontrol Google Kubernetes Engine (GKE) menggunakan pengontrol dari Kubernetes sehingga terpengaruh oleh kerentanan ini. Sebaiknya upgrade bidang kontrol ke versi patch terbaru. Upgrade node tidak diperlukan.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang

CVE-2020-8555

GCP-2020-006

Dipublikasikan: 01-06-2020

Deskripsi

Deskripsi Keparahan Notes

Kubernetes telah mengungkapkan kerentanan yang memungkinkan container dengan hak istimewa mengalihkan traffic node ke container lain. Traffic TLS/SSH bersama, seperti antara server kubelet dan API, atau traffic dari aplikasi yang menggunakan mTLS tidak dapat dibaca atau dimodifikasi oleh serangan ini. Semua node Google Kubernetes Engine (GKE) terpengaruh oleh kerentanan ini, dan sebaiknya Anda melakukan upgrade ke versi patch terbaru.

Untuk mengetahui petunjuk dan detail selengkapnya, lihat:

Sedang

Masalah Kubernetes 91507

GCP-2020-005

Dipublikasikan: 07-05-2020

Deskripsi

Kerentanan

Tingkat keparahan

CVE

Kerentanan baru-baru ini ditemukan di kernel Linux, yang dijelaskan dalam CVE-2020-8835, yang memungkinkan escape container mendapatkan hak istimewa root di node host.

Node Ubuntu Google Kubernetes Engine (GKE) yang menjalankan GKE 1.16 atau 1.17 terpengaruh oleh kerentanan ini. Sebaiknya upgrade ke versi patch terbaru sesegera mungkin.

Lihat buletin keamanan GKE untuk mendapatkan petunjuk dan detail lebih lanjut.

Tinggi

CVE-2020-8835

GCP-2020-004

Dipublikasikan: 31-03-2020
Diperbarui: 2020-03-31

Deskripsi

Kubernetes telah mengungkapkan kerentanan berikut:

Kerentanan

Tingkat keparahan

CVE

CVE-2019-11254 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API.

Sedang

CVE-2019-11254

Lihat buletin keamanan GKE di VMware untuk mendapatkan petunjuk dan detail selengkapnya.

GCP-2020-003

Dipublikasikan: 31-03-2020
Diperbarui: 2020-03-31

Deskripsi

Kubernetes telah mengungkapkan kerentanan berikut:

Kerentanan

Tingkat keparahan

CVE

CVE-2019-11254 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API.

Sedang

CVE-2019-11254

Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.

GCP-2020-002

Dipublikasikan: 23-03-2020
Diperbarui: 2020-03-23

Deskripsi

Kubernetes telah mengungkapkan kerentanan berikut:

Kerentanan

Tingkat keparahan

CVE

CVE-2020-8551 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi kubelet.

Sedang

CVE-2020-8551

CVE-2020-8552 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi server API.

Sedang

CVE-2020-8552

Lihat buletin keamanan GKE untuk mengetahui petunjuk dan detail selengkapnya.

GCP-2020-001

Dipublikasikan: 21-01-2020
Diperbarui: 2020-01-21

Deskripsi

Microsoft telah mengungkapkan kerentanan berikut:

Kerentanan

Tingkat keparahan

CVE

CVE-2020-0601 — Kerentanan ini juga dikenal sebagai Kerentanan Spoofing Windows Crypto API. Serangan ini dapat dieksploitasi untuk membuat file berbahaya yang dapat dieksekusi tampak tepercaya atau memungkinkan penyerang melakukan serangan man-in-the-middle dan mendekripsi informasi rahasia pada koneksi pengguna ke software yang terpengaruh.

Skor Dasar NVD: 8.1 (Tinggi)

CVE-2020-0601

Untuk informasi selengkapnya, lihat pengungkapan Microsoft.

Dampak Google Cloud

Infrastruktur yang menghosting produk Google Cloud dan Google tidak terpengaruh oleh kerentanan ini. Detail per produk tambahan tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2020-0601

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Pelanggan yang menggunakan virtual machine Compute Engine yang menjalankan Windows Server harus memastikan instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 15/1/2020. Lihat buletin keamanan Compute Engine untuk detail selengkapnya.

Google Kubernetes Engine

CVE-2020-0601

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Pelanggan yang menggunakan GKE dengan node Windows Server, baik node maupun workload dalam container yang berjalan pada node tersebut harus diupdate ke versi yang di-patch untuk mengurangi kerentanan ini. Lihat buletin keamanan GKE untuk mendapatkan petunjuk dan detail lebih lanjut.

Layanan Terkelola untuk Microsoft Active Directory

CVE-2020-0601

Untuk sebagian besar pelanggan, tidak diperlukan tindakan lebih lanjut.

Semua domain Microsoft AD Terkelola telah otomatis diupdate dengan image yang di-patch. Setiap pelanggan yang menjalankan Microsoft Active Directory secara manual (dan tidak menggunakan Microsoft AD Terkelola) harus memastikan bahwa instance mereka memiliki patch Windows terbaru atau menggunakan image Windows Server yang disediakan sejak 15/1/2020.

Google Workspace

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan standar App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Lingkungan fleksibel App Engine

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Run

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Functions

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud Composer

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataflow

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Dataproc

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

Cloud SQL

Pelanggan tidak perlu melakukan tindakan apa pun.

Layanan ini tidak terpengaruh oleh kerentanan ini.

GCP-2019-001

Dipublikasikan: 2019-11-12
Diperbarui: 2019-11-12

Deskripsi

Intel telah mengungkapkan kerentanan berikut:

Kerentanan

Tingkat keparahan

CVE

CVE-2019-11135 — Kerentanan yang disebut sebagai TSX Async Abort (TAA) ini dapat digunakan untuk mengeksploitasi eksekusi spekulatif dalam transaksi TSX. Kerentanan ini berpotensi memungkinkan data terekspos melalui struktur data mikroarsitektural yang sama yang diekspos oleh Microarchitectural Data Sampling (MDS).

Sedang

CVE-2019-11135

CVE-2018-12207 — Ini adalah kerentanan Denial of Service (DoS) yang memengaruhi host virtual machine (bukan tamu). Masalah ini dikenal sebagai "Machine Check Error on Page Size Change".

Sedang

CVE-2018-12207

Untuk informasi selengkapnya, lihat pengungkapan Intel:

Dampak Google Cloud

Infrastruktur yang menghosting produk Google Cloud dan Google terlindungi dari kerentanan ini. Detail per produk tambahan tercantum di bawah.

Produk

Dampak

Compute Engine

CVE-2019-11135

Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan tambahan.

Pelanggan N2, C2, atau M2 yang menjalankan kode tidak tepercaya di layanan multi-tenant mereka sendiri dalam virtual machine Compute Engine harus menghentikan dan memulai VM mereka untuk memastikan bahwa mereka memiliki mitigasi keamanan terbaru.

CVE-2018-12207

Untuk semua pelanggan, Anda tidak perlu melakukan tindakan tambahan.

Google Kubernetes Engine

CVE-2019-11135

Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan tambahan.

Jika Anda menggunakan node pool dengan node N2, M2, atau C2, dan node tersebut menjalankan kode tidak tepercaya di dalam cluster GKE multi-tenant Anda sendiri, berarti Anda harus memulai ulang node. Jika Anda ingin memulai ulang semua node dalam kumpulan node Anda, upgrade kumpulan node yang terpengaruh.

CVE-2018-12207

Untuk semua pelanggan, Anda tidak perlu melakukan tindakan tambahan.

Lingkungan standar App Engine

Anda tidak perlu melakukan tindakan tambahan apa pun.

Lingkungan fleksibel App Engine

CVE-2019-11135

Tidak ada tindakan tambahan yang diperlukan.

Pelanggan harus meninjau praktik terbaik Intel sehubungan dengan berbagi tingkat aplikasi yang dapat terjadi di antara hyperthread dalam Flex VM.

CVE-2018-12207

Tidak diperlukan tindakan tambahan.

Cloud Run

Anda tidak perlu melakukan tindakan tambahan apa pun.

Cloud Functions

Anda tidak perlu melakukan tindakan tambahan apa pun.

Cloud Composer

Anda tidak perlu melakukan tindakan tambahan apa pun.

Dataflow

CVE-2019-11135

Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan tambahan.

Pelanggan Dataflow yang menjalankan beberapa workload tidak tepercaya di VM Compute Engine N2, C2, atau M2 yang dikelola oleh Dataflow dan khawatir dengan serangan intra-tamu, sebaiknya mempertimbangkan untuk memulai ulang pipeline streaming yang sedang berjalan. Secara opsional, pipeline batch dapat dibatalkan dan dijalankan kembali. Anda tidak perlu melakukan tindakan apa pun untuk pipeline yang diluncurkan setelah hari ini.

CVE-2018-12207

Untuk semua pelanggan, Anda tidak perlu melakukan tindakan tambahan.

Dataproc

CVE-2019-11135

Untuk sebagian besar pelanggan, Anda tidak perlu melakukan tindakan tambahan.

Pelanggan Cloud Dataproc yang menjalankan beberapa workload tidak tepercaya pada cluster Cloud Dataproc yang sama yang berjalan di VM Compute Engine N2, C2, atau M2 dan khawatir dengan serangan intra-tamu, sebaiknya men-deploy ulang cluster mereka.

CVE-2018-12207

Untuk semua pelanggan, Anda tidak perlu melakukan tindakan tambahan.

Cloud SQL

Anda tidak perlu melakukan tindakan tambahan apa pun.