セキュリティに関する公開情報

次のセキュリティに関する公開情報は、Google Cloud プロダクトに関連するものです。

このページのセキュリティに関する公開情報を定期的に受け取るには、こちらの XML フィードを使用してください。登録

GCP-2024-031

公開日: 2024 年 5 月 24 日

説明

説明 重大度 メモ

Fluent Bit で、リモートコード実行を引き起こす可能性がある新しい脆弱性(CVE-2024-4323)が見つかりました。Fluent Bit バージョン 2.0.7 ~ 3.0.3 が影響を受けます。

GKE、GKE on VMware、GKE on AWS、GKE on Azure、GKE on Bare Metal は、脆弱性のあるバージョンの Fluent Bit を使用せず、影響を受けません

手順と詳細については、次の公開情報をご覧ください。

なし CVE-2024-4323

GCP-2024-030

公開日: 2024 年 5 月 15 日

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-52620

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-52620

GCP-2024-029

公開日: 2024 年 5 月-14 日

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26642

手順と詳細については、次の公開情報をご覧ください。

CVE-2024-26642

GCP-2024-028

公開日: 2024 年 5 月 13 日

更新日: 2024 年 5 月 22 日

説明

説明 重大度 メモ

2024 年 5 月 22 日更新: Ubuntu のパッチ バージョンを追加しました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26581

手順と詳細については、次の公開情報をご覧ください。

CVE-2024-26581

GCP-2024-027

公開日: 2024 年 5 月 8 日

更新日: 2024 年 5 月 9 日、2024 年 5 月 15 日

説明

説明 重大度 メモ

2024 年 5 月 15 日更新: GKE Ubuntu ノードプールのパッチ バージョンを追加しました。


2024 年 5 月 9 日更新: 重大度を中から高に修正し、デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明記しました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26808

手順と詳細については、次の公開情報をご覧ください。

CVE-2024-26808

GCP-2024-026

公開日: 2024 年 5 月 7 日

更新日: 2024 年 5 月 9 日

説明

説明 重大度 メモ

2024 年 5 月 9 日更新: 重大度を中から高に修正しました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26643

手順と詳細については、次の公開情報をご覧ください。

CVE-2024-26643

GCP-2024-025

公開: 2024-04-26

説明

説明 重大度 メモ

Looker では、Google および Alphabet の脆弱性報奨プログラム(VRP)プログラムを介して外部研究者から報告された脆弱性は修正されましたが、悪用の証拠は見られませんでした。この問題は現在すでに解決されています。Looker(Google Cloud コア)および Looker(オリジナル)の Looker でホストされているお客様によるご対応は必要ありません。自己ホスト型の Looker インスタンスについては、サポートされている最新バージョンに更新することをおすすめします。

必要な対策

Looker でホストされるインスタンス: Looker(Google Cloud コア)と Looker(オリジナル)のインスタンス

お客様による対応は必要ありません。

自己ホスト型の Looker インスタンスのみ

Looker インスタンスが自己ホスト型の場合は、Looker インスタンスを次のいずれかのバージョンにアップグレードすることをおすすめします。

  • 24.6.12 以降
  • 24.4.27 以降
  • 24.2.58 以降
  • 24.0.65 以降
  • 23.18.100 以降
  • 23.12.105 以降
  • 23.6.163 以降

問題の解決

Google は、Looker アプリケーションから内部データベースへの直接管理者権限の無効化、テナント間のアクセスを可能にする権限昇格の削除、公開されたシークレットのローテーションを行いました。さらに、サービス アカウントの認証情報の漏洩を引き起こす可能性があるパス トラバーサルの脆弱性にもパッチを適用しました。また、同様の潜在的な脆弱性を特定、対処するために、コードとシステムの徹底的なレビューも実施しています。

重大

GCP-2024-024

公開: 2024-04-25

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-26585

手順と詳細については、次の公開情報をご覧ください。

CVE-2024-26585

GCP-2024-023

公開日: 2024 年 4 月 24 日

説明

説明 重大度 メモ

次の CVE は、Anthos Service Mesh を悪用可能な脆弱性にさらします。

  • CVE-2024-27919: HTTP/2: CONTINUATION フレーム フラッディングによるメモリ枯渇。
  • CVE-2024-30255: HTTP/2: CONTINUATION フレーム フラッディングによる CPU の枯渇
  • CVE-2024-32475: 255 文字を超える「:authority」ヘッダーで「auto_sni」を使用する場合の異常終了。
  • CVE-2023-45288: HTTP/2 CONTINUATION フレームが DoS 攻撃に利用される可能性があります。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

GCP-2024-022

公開日: 2024 年 4 月 3 日

更新日: 2024 年 4 月 24 日

説明

説明 重大度 メモ

2024 年 4 月 24 日更新: GKE のパッチ バージョンを追加しました。


先ごろ、サービス拒否攻撃(DoS)の脆弱性(CVE-2023-45288)が HTTP/2 プロトコルの複数の実装で発見されました。これには、Kubernetes で使用されている GoLang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-45288

GCP-2024-021

公開日: 2024 年 4 月 3 日

説明

説明 重大度 メモ

Compute Engine は CVE-2024-3094 の影響を受けません。これは、liblzma ライブラリの xz-utils パッケージのバージョン 5.6.0 と 5.6.1 に影響します。これにより、OpenSSH ユーティリティが侵害されるおそれがあります。

詳細については、Compute Engine のセキュリティに関する公開情報をご覧ください。

CVE-2024-3094

GCP-2024-020

公開日: 2024 年 4 月 2 日

説明

説明 重大度 メモ

研究者が Ray に脆弱性(CVE-2023-48022)があることを発見しました。Ray は AI ワークロード用のサードパーティのオープンソース ツールです。Ray は認証を必要としないため、脅威アクターは、公開されているインスタンスにジョブを送信して、リモートコード実行を実現できます。この脆弱性は、Ray のデベロッパーである Anyscale によって異議申し立てが行われました。Ray は、その機能が意図したコア プロダクト機能であると維持されています。セキュリティは、Ray クラスタの意図しないネットワーク公開によって侵害される可能性があるため、代わりに Ray クラスタの外部で実装する必要があります。

レスポンスに基づいて、この CVE は異議を申し立てられ、脆弱性スキャナに表示されない可能性があります。いずれにしても、実際に悪用されていることから、ユーザーは次のように使用を構成する必要があります。

必要な対策

信頼できるネットワークで信頼できるコードを実行するなど、Ray のベスト プラクティスとガイドラインに沿って、Ray ワークロードを保護します。お客様のクラウド インスタンスへの ray.io のデプロイは、共有責任モデルに分類されます。

Google Kubernetes Engine(GKE)のセキュリティは、GKE での Ray の強化に関するブログを公開しています。

Ray サービスに認証と承認を追加する方法については、Identity-Aware Proxy(IAP)のドキュメントをご覧ください。GKE ユーザーは、このガイダンスに従うか、ブログにリンクされた Terraform モジュールを再利用することで、IAP を実装できます。

CVE-2023-48022

GCP-2024-018

公開日: 2024 年 3 月 12 日

更新日: 2024 年 4 月 4 日、2024 年 5 月 6 日

説明

説明 重大度 メモ

2024 年 5 月 6 日更新: GKE Ubuntu ノードプールのパッチ バージョンを追加しました。


2024 年 4 月 4 日更新: GKE Container-Optimized OS ノードプールの最小バージョンを修正しました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-1085

手順と詳細については、次の公開情報をご覧ください。

CVE-2024-1085

GCP-2024-017

公開日: 2024 年 3 月 6 日

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3611

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-3611

GCP-2024-016

公開日: 2024 年 3 月 5 日

説明 重大度 メモ

VMware は、VMSA-2024-0006 でお客様の環境にデプロイされた ESXi コンポーネントに影響する複数の脆弱性が開示されました。

Cloud カスタマーケアへの影響

セキュリティの脆弱性に対処するため、プライベート クラウドが更新されました。

必要な対策

お客様側での対応は必要ありません。

重大

GCP-2024-014

公開日: 2024 年 2 月 26 日

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3776

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-3776

GCP-2024-013

公開日: 2024 年 2 月 27 日

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3610

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-3610

GCP-2024-012

公開日: 2024 年 2 月 20 日

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2024-0193

手順と詳細については、次の公開情報をご覧ください。

CVE-2024-0193

GCP-2024-011

公開日: 2024 年 2 月 15 日

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6932

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-6932

GCP-2024-010

公開日: 2024 年 2 月 14 日

更新日時: 2024 年 4 月 17 日

説明

説明 重大度 メモ

2024 年 4 月 17 日更新: GKE on VMware のパッチ バージョンを追加しました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6931

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-6931

GCP-2024-009

公開日: 2024 年 2 月 13 日

説明

説明 重大度 メモ

AMD は 2024 年 2 月 13 日に、第 3 世代「Milan」と第 4 世代「Genoa」の Zen コアをベースにした EPYC CPU 上で SEV-SNP に影響する 2 つの脆弱性を公表しました。この脆弱性により、特権を持つ攻撃者がゲストの古いデータにアクセスしたり、ゲストの完全性を失わせたりする可能性があります。

Google では、Google Cloud を含む関連アセットに修正を適用し、お客様を確実に保護してきました。現時点では、悪用された形跡は見つからず、Google に対する報告もありません。

必要な対策

お客様による対応は必要ありません。 Compute Engine を含む Google Cloud の Google サーバー フリートには、すでに修正が適用されています。

詳細については、AMD セキュリティ アドバイザリ AMD-SN-3007 をご覧ください。

GCP-2024-008

公開: 2024-02-12

説明

説明 重大度 メモ

CVE-2023-5528 により、攻撃者は Windows ノードで Pod と永続ボリュームを作成し、それらのノードで管理者権限昇格を実行できるようになります。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-5528

GCP-2024-007

公開: 2024-02-08

説明

説明 重大度 メモ

次の CVE は、Anthos Service Mesh を悪用可能な脆弱性にさらします。

  • CVE-2024-23322: Envoy がアイドル状態の場合にクラッシュし、バックオフ間隔内で試行がタイムアウトするたびにリクエストが発生する。
  • CVE-2024-23323: 正規表現を使用して URI テンプレート マッチャーを構成すると、CPU 使用率が極端に大きくなる。
  • CVE-2024-23324: プロキシ プロトコルのフィルタによって無効な UTF-8 メタデータが設定されている場合、外部認証をバイパスできるようになる。
  • OS でサポートされていないアドレスタイプを使用すると Envoy がクラッシュする。
  • CVE-2024-23327: コマンドのタイプが LOCAL の場合、プロキシ プロトコルでクラッシュが発生する。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

GCP-2024-006

公開日: 2024-02-5

説明

説明 重大度 メモ

Apigee API 管理プロキシがターゲット エンドポイントまたは ターゲット サーバーに接続した際に、デフォルトでは、プロキシはターゲット エンドポイントまたはターゲット サーバーによって提示された証明書のホスト名検証を実行しません。 次のいずれかのオプションを使用してホスト名検証を有効にしていない場合、ターゲット エンドポイントまたはターゲット サーバーに接続している Apigee プロキシが、承認済みユーザーによる中間者攻撃を受けるリスクがあります。詳細については、Edge からバックエンドへの TLS の構成(Cloud、Private Cloud)をご覧ください。

次の Apigee プラットフォームの Apigee プロキシ デプロイが影響を受けます。

  • Apigee Edge for Public Cloud
  • Apigee Edge for Private Cloud

手順と詳細については、Apigee のセキュリティに関する公開情報をご覧ください。

GCP-2024-005

公開日: 2024 年 1 月 31 日
更新日: 2024 年 4 月 2 日、2024 年 5 月 6 日

説明

説明 重大度 メモ

2024 年 5 月 6 更新日: GKE on AWS と GKE on Azure のパッチ バージョンを追加しました。


2024 年 4 月 2 日更新: GKE on Bare Metal のパッチ バージョンを追加しました。


2024 年 3 月 6 日更新: GKE on VMware のパッチ バージョンを追加しました。


2024 年 2 月 28 日更新: Ubuntu のパッチ バージョンを追加しました。


2024 年 2 月 15 日更新: 2024 年 2 月 14 日の更新で、Ubuntu パッチ バージョン 1.25 と 1.26 が原因でノードに異常が発生する可能性があることを明記しました。


2024 年 2 月 14 日更新: Ubuntu のパッチ バージョンを追加しました。


2024 年 2 月 6 日更新: Container-Optimized OS のパッチ バージョンを追加しました。


セキュリティ上の脆弱性 CVE-2024-21626 が runc で発見されました。この脆弱性により、Container-Optimized OS ノードと Ubuntu ノードで Pod を作成する権限を持つユーザーが、ノードのファイルシステムへの完全アクセス権を取得できる可能性があります。

手順と詳細については、次の公開情報をご覧ください。

CVE-2024-21626

GCP-2024-004

公開日: 2024 年 1 月 24 日
更新日: 2024 年 2 月 7 日

説明

説明 重大度 メモ

2024 年 2 月 7 日更新: Ubuntu のパッチ バージョンを追加しました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6817

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-6817

GCP-2024-003

公開日: 2024 年 1 月 19 日
更新日: 2024 年 1 月 26 日

説明

説明 重大度 メモ

2024 年 1 月 26 日更新: 影響を受けたクラスタの数と、その影響を軽減するために Google が行ったアクションを明確にしました。詳細については、GCP-2024-003 のセキュリティに関する公開情報をご覧ください。


ユーザーが Google アカウントを持つすべてのユーザーが含まれる system:authenticated グループにユーザーが Kubernetes 権限を付与しているクラスタをいくつか特定しました。これらのタイプのバインディングは、最小権限の原則に違反し、大規模なユーザー グループにアクセスを許可するため、推奨されません。これらのタイプのバインディングを見つける方法については、必要な対策のガイダンスをご覧ください。

手順と詳細については、次の公開情報をご覧ください。

GCP-2024-002

公開日: 2024 年 1 月 17 日

更新日: 2024 年 2 月 20 日

説明

説明 重大度 メモ

2024 年 2 月 20 日更新: GKE on VMware のパッチ バージョンを追加しました。


Linux カーネルで、Container-Optimized OS ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-6111

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-6111

GCP-2024-001

公開日: 2024 年 1 月 9 日

説明

説明 重大度 メモ

TianoCore EDK II UEFI ファームウェアで複数の脆弱性が見つかりました。このファームウェアは Google Compute Engine VM で使われています。脆弱性が悪用されると、セキュアブートのバイパスが可能になり、Shielded VM で使用される場合を含む、セキュアブート プロセスで誤った測定値になる可能性があります。

必要な対策

必要なご対応は特にありません。Google は、Compute Engine 全体でこの脆弱性にパッチを適用し、すべての VM を脆弱性から保護しました。

このパッチで対処される脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765

GCP-2023-051

公開日: 2023 年 12 月 28 日

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3609

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-3609

GCP-2023-050

公開日: 2023 年 12 月 27 日

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3389

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-3389

GCP-2023-049

公開日: 2023 年 12 月 20 日

説明

説明 重大度 メモ

Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3090

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-3090

GCP-2023-048

公開日: 2023-12-15

最終更新日: 2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3390

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-3390

GCP-2023-047

公開日: 2023-12-14

説明

説明 重大度 メモ

Fluent Bit ロギング コンテナを侵害した攻撃者によって、そのアクセス権を Anthos Service Mesh で必要な高い権限(権限を有効にしたクラスタにおいて)と組み合わせ、クラスタ内の権限を昇格させられる危険性が見つかりました。

手順と詳細については、次の公開情報をご覧ください。

GCP-2023-046

公開日: 2023 年 11 月 22 日
更新日: 2024 年 3 月 4 日

説明

説明 重大度 メモ

2024 年 3 月 4 日更新: GKE on VMware の GKE バージョンを追加しました。

2024 年 1 月 22 日更新: Ubuntu パッチ バージョンを追加しました


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5717

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-5717

GCP-2023-045

公開日: 2023 年 11 月 20 日

最終更新日: 2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-5197

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-5197

GCP-2023-044

公開日: 2023 年 11 月 15 日

説明

説明 重大度 メモ

11 月 14 日、AMD はさまざまな AMD サーバーの CPU に影響する複数の脆弱性を公表しました。具体的には、脆弱性は Zen コア第 2 世代「Rome」、第 3 世代「Milan」、第 4 世代「Genoa」を利用した EPYC サーバー CPU に影響します。

Google では、お客様を保護するために、影響を受けるアセット(Google Cloud を含む)に修正を適用しました。現時点では、悪用の証拠は見つからず、Google に報告されません。

必要な対策

お客様による対応は必要ありません。

Google Compute Engine を含む Google Cloud の Google サーバー フリートには、すでに修正が適用されています。

対処されている脆弱性

このパッチで緩和された脆弱性は以下のとおりです。

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

詳細については、CacheWarp としても公開されている AMD のセキュリティ アドバイザリ AMD-SN-3005: 「AMD INVD Instruction Security Notice」AMD-SN-3002: 「AMD Server Vulnerabilities – November 2023」 をご覧ください。

適度

GCP-2023-043

公開日: 2023 年 11 月 14 日

説明

説明 重大度 メモ

Intel により、一部のプロセッサで CPU の脆弱性が公表されました。Google では、Google Cloud 向け Google Compute Engine、Chrome OS デバイスなど、サーバーのフリートを軽減する対策を講じ、お客様が保護されるようにしています。

脆弱性の詳細:

  • CVE-2023-23583

必要な対策

お客様による対応は必要ありません。

影響を受けるプロセッサに対して Intel が提供している緩和策は、Google Cloud の Google Compute Engine を含む Google のサーバー フリートに適用されています。

現時点では、Google Distributed Cloud Edge は OEM からの更新が必要です。このセキュリティに関する公開情報は、更新が利用可能になり次第、修正を行います。また、この情報も更新されます。

影響を受けるプロセッサを搭載した Chrome OS デバイスには、リリース 119、118、114(LTS)の一部として自動的に修正が適用されました。

対処されている脆弱性

CVE-2023-23583詳細については、Intel Security Advisory INTEL-SA-00950 をご覧ください。

CVE-2023-23583

GCP-2023-042

公開日: 2023 年 11 月 13 日
更新日: 2023 年 11 月 15 日

説明

説明 重大度 メモ

2023 年 11 月 15 日更新: リストされたマイナー バージョンのみ、GKE の対応するパッチ適用済みバージョンにアップグレードする必要があることを明記しました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4147

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-4147

GCP-2023-041

公開日: 2023 年 11 月 8 日

更新日: 2023 年 11 月 21 日、2023 年 12 月 5 日、2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


2023 年 12 月 5 日更新: Container-Optimized OS ノードプールに GKE バージョンを追加しました。


2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4004

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-4004

GCP-2023-040

公開日: 2023-11-06

最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4921

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-4921

GCP-2023-039

公開日: 2023-11-06

更新日: 2023 年 11 月 21 日、2023 年 11 月 16 日

説明

説明 重大度 メモ

2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。


2023 年 11 月 16 日更新: このセキュリティに関する公開情報に関連する脆弱性は CVE-2023-4622 です。CVE-2023-4623 は、以前のバージョンのセキュリティに関する公開情報における脆弱性として誤ってリストされました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-4622

GCP-2023-038

公開日: 2023-11-06

最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4623

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-4623

GCP-2023-037

公開日: 2023-11-06

最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4015

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-4015

GCP-2023-036

公開: 2023 年 10 月 30 日

説明

説明 重大度

Deep Learning VM Image は、初期設定の状態で実行できるディープ ラーニング フレームワークを含むパッケージ化された仮想マシンイメージのセットです。最近、「libwebp」ライブラリの「ReadHuffmanCodes()」関数で範囲外書き込みの脆弱性が発見されました。このライブラリを使用するイメージに影響する可能性があります。

Google Cloud は、一般公開されているイメージを継続的にスキャンし、パッケージを更新して、お客様が利用可能な最新リリースにパッチ適用済みのディストリビューションが含まれるようにしています。Deep Learning VM Image が更新され、最新の VM イメージにパッチ適用済みのディストリビューションが含まれるようになりました。最新の VM イメージを採用しているお客様は、この脆弱性の影響を受けません。

必要な対策

公開されている VM イメージを使用する Google Cloud のお客様は、最新のイメージを採用し、共有責任モデルに従って自社の環境が最新であることを確認する必要があります。

CVE-2023-4863 を攻撃者が悪用して任意のコードを実行するおそれがあります。この脆弱性は、Google Chrome 116.0.5845.187 より前のバージョンと libwebp 1.3.2 より前のバージョンで特定されており、CVE-2023-4863 に記載されています。

CVE-2023-4863

GCP-2023-035

公開日: 2023 年 10 月 26 日

最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-4206CVE-2023-4207CVE-2023-4208CVE-2023-4128

GCP-2023-034

公開日: 2023 年 10 月 25 日

最終更新日: 2023 年 10 月 27 日

説明

説明 重大度 メモ

VMware は、お客様の環境にデプロイされた vCenter コンポーネントに影響する VMSA-2023-0023 に複数の脆弱性を公表しました。

Cloud カスタマーケアへの影響

  • この脆弱性は、vCenter Server の特定のポートにアクセスすることで悪用される可能性があります。これらのポートは公共のインターネットに公開されません。
  • vCenter ポート 2012/tcp、2014/tcp、2020/tcp に信頼できないシステムからアクセスできない場合、この脆弱性の影響を受けません。
  • Google では、vCenter Server の脆弱なポートをすでにブロックしており、この脆弱性の悪用を防ぎます。
  • さらに、Google は今後 vCenter Server のすべてのデプロイがこの脆弱性にさらされないようにします。
  • この情報の時点では、VMware は「実際」の悪用については認識していません。 詳細については、VMware のドキュメントをご覧ください。

必要な対策

現時点ではこれ以上のご対応は必要ございません。

重大 CVE-2023-34048、CVE-2023-34056

GCP-2023-033

公開日: 2023 年 10 月 24 日

最終更新日: 2023 年 11 月 21 日、2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタは影響を受けず、GKE Sandbox ワークロードは影響を受けないことを明記しました。


2023 年 11 月 21 日更新: GKE の対応するパッチ適用済みバージョンへのアップグレードが必要なのは、リストされているマイナー バージョンのみであることを明確にしました。


Linux カーネルで、Container-Optimized OS ノードと Ubuntu ノードで権限昇格が発生する可能性がある次の脆弱性が見つかりました。

  • CVE-2023-3777

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-3777

GCP-2023-032

公開日: 2023 年 10 月 13 日

更新日時: 2023 年 11 月 3 日

説明

説明 重大度 メモ

2023 年 11 月 3 日更新: Apigee Edge for Private Cloud の 既知の問題を追加しました。

先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコルの複数の実装で発見されました(CVE-2023-44487)。これには、Apigee X と Apigee ハイブリッドで使用されている Apigee Ingress(Anthos Service Mesh)サービスも含まれます。この脆弱性により、Apigee API 管理機能の DoS が発生する可能性があります。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

CVE-2023-44487

GCP-2023-031

公開日: 2023 年 10 月 10 日

説明

説明 重大度 メモ

HTTP/2 プロトコルを使用している場合、データプレーンがサービス拒否攻撃の影響を受ける可能性があります。手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

CVE-2023-44487

GCP-2023-030

公開日: 2023 年 10 月 10 日

更新日時: 2024 年 3 月 20 日

説明

説明 重大度 メモ

2024 年 3 月 20 日更新: CVE-2023-44487 に対する最新のパッチを含む GKE on AWS と GKE on Azure のパッチ バージョンを追加しました。


2024 年 2 月 14 日更新: GKE on VMware のパッチ バージョンを追加しました。


2023 年 11 月 9 日更新: CVE-2023-39325 を追加しました。CVE-2023-44487 と CVE-2023-39325 の最新のパッチで GKE バージョンを更新しました。


先ごろ、サービス拒否攻撃(DoS)の脆弱性が HTTP/2 プロトコル(CVE-2023-44487)の複数の実装で発見されました(CVE-2023-44487)。これには、Kubernetes で使用される golang HTTP サーバーも含まれます。この脆弱性により、Google Kubernetes Engine(GKE)コントロール プレーンの DoS が発生する可能性があります。承認済みネットワークが構成されている GKE クラスタはネットワーク アクセスを制限することで保護されますが、他のすべてのクラスタは影響を受けます。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-44487CVE-2023-39325

GCP-2023-029

公開: 2023 年 10 月 3 日

説明

説明 重大度

TorchServe は、オンライン予測用に PyTorch の ML モデルをホストするために使用されます。Vertex AI は、TorchServe に依存するビルド済みの PyTorch モデル サービング コンテナを提供します。先ごろ、TorchServe の脆弱性が発見されました。この脆弱性により、TorchServe デプロイメントのモデル管理 API を公開すると、デプロイメントが攻撃者に乗っ取られる可能性があります。Vertex AI は TorchServe のモデル管理 API を公開しないため、Vertex AI Online Prediction で PyTorch モデルをデプロイしているお客様は、この脆弱性の影響を受けません。Vertex AI の外部で TorchServe を使用しているお客様は、デプロイメントが安全に設定されるように予防措置を講じる必要があります。

必要な対策

Vertex AI で、Vertex AI のビルド済み PyTorch サービング コンテナを使用してモデルをデプロイしている場合は、Vertex AI のデプロイメントは TorchServe の管理サーバーをインターネットに公開しないため、脆弱性に対処するために必要な操作はありません。

ビルド済みの PyTorch コンテナを他のコンテキストで使用している場合、またはカスタムビルドの PyTorch またはサードパーティ ディストリビューションの TorchServe を使用している場合は、次のことを行う必要があります。

  • TorchServe のモデル管理 API がインターネットに公開されないようにします。モデル管理 API をローカル アクセスに制限するには、management_address127.0.0.1 にバインドする必要があります。
  • 目的のソースからのみモデルを読み込むようにするには、allowed_urls 設定を使用します。
  • できるだけ早く TorchServe をバージョン 0.8.2 にアップグレードしてください。このバージョンには、この問題の軽減策が含まれています。予防措置として、Vertex AI は 2023 年 10 月 13 日までに修正済みのビルド済みコンテナをリリースする予定です。

対処されている脆弱性

Vertex AI によってリリースされるものを含むほとんどの TorchServe Docker イメージで、TorchServe の管理 API はデフォルトで 0.0.0.0 にバインドされ、外部リクエストからアクセス可能な状態になっています。TorchServe 0.8.2 では管理 API のデフォルトの IP アドレスが 127.0.0.1 に変更され、この問題は解決されました。

CVE-2023-43654CVE-2022-1471 の脆弱性により、管理 API にアクセスできるユーザーが任意のソースからモデルを読み込み、リモートからコードを実行することができます。TorchServe 0.8.2 には、この両方の問題を解決する機能が含まれています。リモートコード実行パスが削除され、allowed_urls のデフォルト値を使用すると警告が出ます。

CVE-2023-43654, CVE-2022-1471

GCP-2023-028

公開日: 2023 年 9 月 19 日

説明

説明 重大度 メモ

お客様は、取り込みフィードを使用して、お客様所有の Cloud Storage バケットからデータを取り込むように Google Security Operations を構成できます。Google Security Operations では最近まで共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。ひとつのお客様の Google Security Operations インスタンスが、別のお客様の Cloud Storage バケットからデータを取り込むように構成できてしまうという可能性が存在していました。影響分析を実行したところ、この脆弱性は過去にも現在にも悪用されていることが確認されていません。この脆弱性は、2023 年 9 月 19 日より前の Google Security Operations のすべてのバージョンに存在していました。

必要な対策

2023 年 9 月 19 日時点で、Google Security Operations はこの脆弱性に対処するように更新されています。お客様による対応は必要ありません。

対処されている脆弱性

Google Security Operations では以前は共有サービス アカウントを提供しており、お客様がバケットへのアクセス権を付与する用途に使われていました。複数のお客様が、同一の Google Security Operations サービス アカウントへのアクセス権を各自のバケットに付与していたため、フィードが作成または変更されたときに、ひとつのお客様のフィードが別のお客様のバケットにアクセスできるという悪用ベクトルが存在していました。この悪用ベクトルには、バケット URI に関する知識が必要でした。現在、フィードの作成時または変更時には、Google Security Operations はお客様ごとに一意のサービス アカウントを使用します。

GCP-2023-027

公開日: 2023-09-11
説明 重大度

VMware vCenter Server の更新により、複数のメモリ破損の脆弱性(CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896)に対処

カスタマーケアへの影響

VMware vCenter Server(vCenter Server)と VMware Cloud Foundation(Cloud Foundation)。

必要な対策

お客様には影響がないため、ご対応は不要です。

GCP-2023-026

公開日: 2023 年 9 月 6 日

説明

説明 重大度 メモ

Kubernetes で 3 つの脆弱性(CVE-2023-3676、CVE-2023-3955、CVE-2023-3893)が見つかりました。この脆弱性により、Windows ノードで Pod を作成できるユーザーは、そのノードに対して管理者権限を持つよう昇格できる可能性があります。これらの脆弱性は、Kubelet と Kubernetes CSI プロキシの Windows バージョンに影響します。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-3676CVE-2023-3955 CVE-2023-3893

GCP-2023-025

公開日: 2023-08-08
説明 重大度

Intel は最近、プロセッサ ファミリーの一部に影響する Intel Security Advisory INTEL-SA-00828 を発表しました。アドバイザリに基づいてリスクを評価することをおすすめします。

Google Cloud VMware Engine への影響

Google のフリートは、影響を受けるプロセッサ ファミリーを利用しています。Google のデプロイモデルではサーバー全体が 1 人のユーザー専用であるため、この脆弱性の評価で追加のリスクは発生しません。

Google はパートナーと協力して必要なパッチを入手しており、今後数週間のうちに標準のアップグレード プロセスを使用して、これらのパッチをフリート全体に優先的にデプロイする予定です。

必要な対策

影響を受けるすべてのシステムを Google がアップグレードするため、お客様側での対応は不要です。

GCP-2023-024

公開日: 2023 年 8 月 8 日

最終更新日: 2023 年 8 月 10 日

説明

説明 重大度 メモ

2023 年 8 月 10 日更新: ChromeOS LTS のバージョン番号を追加しました。


Intel が一部のプロセッサの脆弱性(CVE-2022-40982)を公表しました。Google では、Google Cloud を含むサーバー フリートを軽減して、お客様を確実に保護するための対策を講じています。

脆弱性の詳細:

  • CVE-2022-40982(Intel IPU 2023.3、「GDS」、別名「Downfall」)

必要な対策

お客様による対応は必要ありません。

利用可能なすべてのパッチは、Google Compute Engine を含む Google Cloud の Google サーバー フリートにすでに適用されています。

現在、以下のプロダクトではパートナーとベンダーによる更新が必要になります。

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Google Cloud BMS
  • Evolved Packet Core

Google は、これらのパッチが公開され次第これらのプロダクトを修正し、このセキュリティ情報を更新する予定です。

Google Chromebook と ChromeOS Flex のお客様は、Intel の Stable(115)、LTS(108)、Beta(116)、LTC(114)で緩和策を自動的に受け取りました。古いリリースに固定された Chromebook と ChromeOS Flex のお客様は、固定を解除して Stable または LTS 版リリースに移行して、この脆弱性や他の脆弱性の修正を適用することを検討してください。

対処されている脆弱性

CVE-2022-40982 - 詳細については、Intel Security Advisory INTEL-SA-00828 をご覧ください。

CVE-2022-40982

GCP-2023-023

公開日: 2023 年 8 月 8 日

説明

説明 重大度 メモ

AMD は一部のプロセッサの脆弱性(CVE-2023-20569)を公表しました。Google では、Google Cloud を含むサーバー フリートを軽減して、お客様を確実に保護するための対策を講じています。

脆弱性の詳細:

  • CVE-2023-20569(AMD SB-7005、別名「Inception」)

必要な対策

Compute Engine VM のユーザーは、インスタンス内で信頼できないコード実行を使用する場合に、OS が提供する緩和策を検討する必要があります。具体的なガイダンスについては、OS ベンダーに問い合わせることをおすすめします。

Google Compute Engine を含む Google Cloud の Google サーバー フリートには、すでに修正が適用されています。

対処されている脆弱性

CVE-2023-20569 - 詳細については、AMD SB-7005 をご覧ください。

適度 CVE-2023-20569

GCP-2023-022

公開日: 2023 年 8 月 3 日

説明

説明 重大度 メモ

gRPC C++ の 1.57 リリースに先立ち、gRPC C++ の実装に脆弱性が見つかりました。これは、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性であり、これらの脆弱性は、1.53.2、1.54.3、1.55.2、1.56.2、1.57 のリリースで修正されています。

必要な対策

次のソフトウェア パッケージの最新バージョンを使用していることをご確認ください。

  • gRPC(C++、Python、Ruby)バージョン 1.53、1.54、1.55、1.56 を、以下のパッチリリースにアップグレードしてください。
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • gRPC(C++、Python、Ruby)1.52 以前のバージョンは、承認済みのパッチリリース((1.53.2、1.54.3、1.53.4 など)のいずれかにアップグレードする必要があります。

対処されている脆弱性

これらのパッチで緩和される脆弱性は以下のとおりです。

  • gRPC C++ の実装におけるサービス拒否攻撃の脆弱性: 特別に作成されたリクエストによって、プロキシとバックエンド間の接続が停止する可能性があります。
CVE-2023-33953

GCP-2023-021

最終更新日: 2023 年 7 月 26 日

公開日: 2023 年 7 月 25 日

説明

説明 重大度 メモ

次の CVE は、Anthos Service Mesh を悪用可能な脆弱性にさらします。

  • CVE-2023-35941: 悪意のあるクライアントが、特定のシナリオで永続的な認証情報を使用して認証情報を作成することが可能です。たとえば、HMAC ペイロードのホストと有効期限の組み合わせが、OAuth2 フィルタの HMAC チェックで常に有効になる可能性があります。
  • CVE-2023-35942: リスナーのグローバル スコープを使用する gRPC アクセス ロガーにより、リスナーがドレインされたときに use-after-free クラッシュが発生する可能性があります。これは、同じ gRPC アクセスログ構成の LDS 更新によってトリガーされる可能性があります。
  • CVE-2023-35943: origin ヘッダーが request_headers_to_remove: origin で削除されるように構成されている場合、CORS フィルタが segfault になり Envoy がクラッシュします。
  • CVE-2023-35944: 攻撃者が混合スキームのリクエストを送信して、Envoy のスキーム チェックをバイパスできます。たとえば、混合スキームの HTTP を含むリクエストが OAuth2 フィルタに送信された場合、HTTP の完全一致チェックに失敗し、スキームが HTTPS であるとリモート エンドポイントに通知されるため、HTTP リクエストに固有の OAuth2 チェックがバイパスされる可能性があります。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

GCP-2023-020

最終更新日: 2023 年 7 月 26 日

公開日: 2023 年 7 月 24 日

説明

説明 重大度 メモ

AMD は、ハードウェアのセキュリティ脆弱性(CVE-2023-20593)に対処するマイクロコード アップデートをリリースしました。Google では、この脆弱性に必要な修正を Google Cloud Platform のサーバーを含むサーバー フリートに適用しました。テストでは、システムのパフォーマンスに影響がないことを示しています。

必要な対策

すでに Google Cloud Platform の Google サーバー フリートに修正が適用されているため、お客様による操作は必要ありません。

対処されている脆弱性

CVE-2023-20593 は一部の AMD CPU の脆弱性に対処しています。詳細についてはこちらをご覧ください

CVE-2023-20593

GCP-2023-019

公開日: 2023 年 7 月 18 日

説明

説明 重大度 メモ

Envoy で、信頼できないアップストリーム サービスからの特別に作成されたレスポンスで、メモリを枯渇させるサービス拒否を発生させることができる新しい脆弱性(CVE-2023-35945)が見つかりました。これは、Envoy の HTTP/2 コーデックが原因であり、アップストリーム サーバーから RST_STREAM を受信した直後に GOAWAY フレームを受信すると、ヘッダーマップとブックキーピング構造のメモリリークが発生する可能性があります。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

CVE-2023-35945

GCP-2023-018

公開日: 2023 年 6 月 27 日

説明

説明 重大度 メモ

Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-2235)が見つかりました。GKE Autopilot ノードは常に Container-Optimized OS ノードイメージを使用するため、GKE Autopilot クラスタが影響を受けます。影響を受けるのは、Container-Optimized OS ノードイメージを実行しているバージョン 1.25 以降の GKE Standard クラスタです。

GKE クラスタは、Ubuntu ノードイメージのみを実行している場合、1.25 より前のバージョンを実行している場合、GKE Sandbox を使用している場合には影響を受けません。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-2235

GCP-2023-017

公開日: 2023 年 6 月 26 日

最終更新日: 2023 年 7 月 11 日

説明

説明 重大度 メモ

2023 年 7 月 11 日更新: 新しい GKE バージョンが更新され、CVE-2023-31436 にパッチを適用する最新の Ubuntu バージョンが追加されました。


Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2023-31436)が見つかりました。Autopilot クラスタを含む GKE クラスタが影響を受けます。GKE Sandbox を使用する GKE クラスタは影響を受けません。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-31436

GCP-2023-016

公開日: 2023 年 6 月 26 日

説明

説明 重大度 メモ

Envoy で数多くの脆弱性が発見されました。これらは Anthos Service Mesh で使用されており、悪意のある攻撃者がサービス拒否攻撃や Envoy のクラッシュを引き起こす可能性があります。これらは GCP-2023-002 として個別に報告されました。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-27496CVE-2023-27488CVE-2023-27493CVE-2023-27492CVE-2023-27491CVE-2023-27487

GCP-2023-015

公開日: 2023 年 6 月 20 日

説明

説明 重大度 メモ

Linux カーネルで、新しい脆弱性(CVE-2023-0468)が見つかりました。この脆弱性は、io_poll_get_ownership が io_poll_wake ごとに req->poll_refs を増加させ続け、その後 0 にオーバーフローして req->file を 2 回出力し、構造体ファイルの refcount 問題を引き起こす際に、権限のないユーザーの権限が root に昇格する可能性があります。Linux カーネル バージョン 5.15 を使用した Container-Optimized OS 搭載の GKE クラスタ(Autopilot クラスタを含む)が影響を受けます。Ubuntu イメージや GKE Sandbox を使用する GKE クラスタは影響を受けません。

手順と詳細については、次の公開情報をご覧ください。

CVE-CVE-2023-0468

GCP-2023-014

最終更新日: 2023 年 8 月 11 日
公開日: 2023 年 6 月 15 日

説明

説明 重大度 メモ

2023 年 8 月 11 日更新: GKE on VMware、GKE on AWS、GKE on Azure、Google Distributed Cloud Virtual for Bare Metal のパッチ バージョンを追加しました。


Kubernetes で 2 つの新しいセキュリティ問題が見つかりました。この脆弱性を利用すると、エフェメラル コンテナとともに ImagePolicyWebhook(CVE-2023-2727)または ServiceAccount アドミッション プラグイン(CVE-2023-2728)のどちらかを使用した際に、ポリシー制限をバイパスするコンテナを起動できる可能性があります。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-2727CVE-2023-2728

GCP-2023-013

公開日: 2023 年 6 月 8 日

説明

説明 重大度 メモ

プロジェクトで Cloud Build API を有効にすると、Cloud Build はユーザーに代わってビルドを実行するデフォルトのサービス アカウントを自動的に作成します。この Cloud Build サービス アカウントには、以前は logging.privateLogEntries.list IAM 権限が付与されていました。これにより、ビルドはデフォルトでプライベート ログを一覧表示することができました。最小権限のセキュリティ原則を遵守するため、Cloud Build サービス アカウントからこの権限が取り消されました。

手順と詳細については、Cloud Build のセキュリティに関する公開情報をご覧ください。

GCP-2023-010

公開日: 2023 年 6 月 7 日

説明

説明 重大度 メモ

Google は、gRPC C ++ 実装に 3 つの新しい脆弱性があることを突き止めました。これらは CVE-2023-1428CVE-2023-32731CVE-2023-32732 としてまもなく公開されます。

4 月に、1.53 および 1.54 リリースで 2 点の脆弱性が見つかりました。1 つ目は、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性です。2 つ目は、リモートデータの引き出しの脆弱性です。これらの脆弱性は、1.53.1、1.54.2 およびそれ以降のリリースで修正されています。

以前 3 月に、Google 内部のチームがルーティンのファジングを実行中に、gRPC C++ の実装におけるサービス拒否攻撃の脆弱性を発見しました。この脆弱性は gRPC 1.52 リリースで見つかり、1.52.2 および 1.53 リリースで修正されています。

必要な対策

次のソフトウェア パッケージの最新バージョンを使用していることをご確認ください。

  • grpc(C++、Python、Ruby)バージョン 1.52、1.53、1.54 は以下のパッチリリースにアップグレードする必要があります。
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • grpc(C++、Python、Ruby)バージョン 1.51 以前は影響を受けないため、これらのバージョンを使用しているユーザーは操作を行うことはできません。

これらのパッチで対処される脆弱性

これらのパッチで緩和される脆弱性は以下のとおりです。

  • 1.53.1、1.54.2 およびそれ以降のリリースは、次の脆弱性に対処しています。gRPC C++ の実装におけるサービス拒否攻撃の脆弱性。特別に作成されたリクエストによって、プロキシとバックエンド間の接続が停止する可能性があります。リモートデータの引き出しの脆弱性: ヘッダーサイズの制限に起因する HPACK テーブルの非同期化によって、プロキシ バックエンドが、プロキシに接続した他のクライアントのヘッダーデータを流出させる可能性があります。
  • 1.52.2、1.53、およびそれ以降のリリースは、次の脆弱性に対処しています。gRPC C++ の実装におけるサービス拒否攻撃の脆弱性: 特殊な形式のリクエストを解析すると、サーバーに影響を与えるクラッシュが発生する可能性があります。

上記のソフトウェア パッケージの最新バージョンにアップグレードすることをおすすめします。

高(CVE-2023-1428、CVE-2023-32731)。中(CVE-2023-32732) CVE-2023-1428CVE-2023-32731CVE-023-32732

GCP-2023-009

公開日: 2023 年 6 月 6 日

説明

説明 重大度 メモ

新しい脆弱性(CVE-2023-2878)が secrets-store-csi-driver で発見されました。これは、ドライバログにアクセスできる行為者がサービス アカウント トークンを監視できるというものです。

手順と詳細については、次の公開情報をご覧ください。

なし CVE-2023-2878

GCP-2023-008

公開日: 2023 年 6 月 5 日

説明

説明 重大度 メモ

Linux カーネルで、ノードの root への権限昇格を引き起こす可能性がある新しい脆弱性が見つかりました。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-1872

GCP-2023-007

公開日: 2023 年 6 月 2 日

説明

説明 重大度 メモ

最近、Cloud SQL for SQL Server に脆弱性が発見されました。この脆弱性により、お客様の管理者アカウントは tempdb データベース内にトリガーを作成し、それらを使用してインスタンス内の sysadmin 権限を取得することができます。sysadmin 権限を持つ攻撃者は、システム データベースにアクセスし、その SQL Server インスタンスを実行しているマシンに部分的にアクセスすることができます。

Google Cloud は、2023 年 3 月 1 日までにセキュリティの脆弱性にパッチを適用することでこの問題を解決しました。Google Cloud が調べた結果、不正使用された顧客インスタンスは見つかりませんでした。

手順と詳細については、Cloud SQL のセキュリティに関する公開情報をご覧ください。

GCP-2023-005

公開日: 2023 年 5 月 18 日

最終更新日: 2023 年 6 月 6 日

説明

説明 重大度 メモ

2023 年 6 月 6 日更新: 新しい GKE バージョンが更新され、CVE-2023-1281 と CVE-2023-1829 にパッチを適用する最新の Ubuntu バージョンが追加されました。


Linux カーネルで 2 つの新しい脆弱性(CVE-2023-1281、CVE-2023-1829)が発見されました。この脆弱性により、ノードの root への権限昇格を引き起こす可能性があります。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-1281 CVE-2023-1829

GCP-2023-004

公開日: 2023 年 4 月 26 日

説明

説明 重大度 メモ

トラステッド プラットフォーム モジュール(TPM)2.0 で 2 つの脆弱性(CVE-2023-1017CVE-2023-1018)が見つかりました。

この脆弱性のため、巧妙な攻撃者により、特定の Compute Engine VM で 2 バイトの境界外読み取りおよび境界外書き込みが悪用されるおそれがあります。

手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

GCP-2023-003

公開日: 2023 年 4 月 11 日

最終更新日: 2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


Linux カーネルで新たに 2 つの脆弱性 CVE-2023-0240 と CVE-2023-23586 が発見されました。この脆弱性により、権限のないユーザーが権限をエスカレーションできるようになります。

手順と詳細については、次の公開情報をご覧ください。

CVE-2023-0240CVE-2023-23586

GCP-2023-002

説明

説明 重大度 メモ

次の CVE は、Anthos Service Mesh を悪用可能な脆弱性にさらします。

  • CVE-2023-27496: Envoy が OAuth フィルタを公開して実行している場合、悪意のあるアクターが Envoy をクラッシュすることでサービス拒否攻撃を引き起こすリクエストを作成できます。
  • CVE-2023-27488: 攻撃者は、この脆弱性を利用して ext_authz の使用時に認証チェックをバイパスできます。
  • CVE-2023-27493: Envoy の構成には、ピア証明書 SAN など、リクエストからの入力を使用して生成されたリクエスト ヘッダーを追加するオプションも含める必要があります。
  • CVE-2023-27492: 攻撃者は、Lua フィルタを有効にしているルートに対して大きなリクエスト本文を送信し、クラッシュをトリガーすることができます。
  • CVE-2023-27491: 攻撃者が、特別に細工された HTTP/2 または HTTP/3 リクエストを送信して、HTTP/1 アップストリーム サービスで解析エラーを誘発させる可能性があります。
  • CVE-2023-27487: ヘッダー「x-envoy-original-path」は内部ヘッダーである必要がありますが、信頼できないクライアントから送信されたリクエストの場合、Envoy はリクエスト処理の開始時にこのヘッダーを削除しません。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

GCP-2023-001

公開日: 2023 年 3 月 1 日、2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


Linux カーネルで、ノードでの権限昇格が発生する可能性がある新しい脆弱性(CVE-2022-4696)が見つかりました。

手順と詳細については、次の公開情報をご覧ください。

CVE-2022-4696

GCP-2022-026

公開日: 2023 年 1 月 11 日

説明

説明 重大度 メモ

OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。

手順と詳細については、次の公開情報をご覧ください。

GCP-2022-025

公開日: 2022 年 12 月 21 日
最終更新日: 2023 年 1 月 19 日、2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能であるという情報を追加しました。


OpenSSL v3.0.6 でクラッシュを引き起こす可能性のある 2 つの新しい脆弱性(CVE-2022-3786 と CVE-2022-3602)が発見されました。

手順と詳細については、次の公開情報をご覧ください。

GCP-2022-024

公開日: 2022 年 11 月 9 日

最終更新日: 2023 年 1 月 19 日

説明

説明 重大度 メモ

2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能であるという情報を追加しました。

2022 年 12 月 16 日更新: GKE と GKE on VMware のパッチ バージョンを追加しました。


Linux カーネルに 2 つの新しい脆弱性(CVE-2022-2585 と CVE-2022-2588)が見つかりました。これにより、ノード上のルートで完全なコンテナ ブレイクアウトが引き起こされる可能性があります。

手順と詳細については、以下をご覧ください。

GCP-2022-023

公開日: 2022 年 11 月 4 日

説明

説明 重大度 メモ

Istio でセキュリティ脆弱性(CVE-2022-39278)が見つかりました。これは、Anthos Service Mesh で使用され、悪意のある攻撃者がコントロール プレーンをクラッシュできるというものです。

手順と詳細については、次の公開情報をご覧ください。

CVE-2022-39278

GCP-2022-022

公開日: 2022 年 10 月 28 日

最終更新日: 2022 年 12 月 14 日

説明

説明 重大度 メモ

2022 年 12 月 14 日更新: GKE と GKE on VMware のパッチ バージョンを追加しました。


Linux カーネルで、権限のないユーザーがシステム実行権限に昇格する可能性がある新しい脆弱性(CVE-2022-20409)が見つかりました。

手順と詳細については、次の公開情報をご覧ください。

CVE-2022-20409

GCP-2022-021

公開日: 2022 年 10 月 27 日

最終更新日: 2023 年 1 月 19 日、2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


2023 年 1 月 19 日更新: GKE バージョン 1.21.14-gke.14100 が利用可能であるという情報を追加しました。

2022 年 12 月 15 日更新: Google Kubernetes Engine のバージョン 1.21.14-gke.9400 がロールアウトを保留中であり、高いバージョン番号に置き換えられる可能性があるという情報を更新しました。

2022 年 11 月 22 日更新: GKE on VMware、GKE on AWS、GKE on Azure のパッチ バージョンを追加しました。


Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-3176)が見つかりました。この脆弱性により、権限のないユーザーがノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。

手順と詳細については、次の公開情報をご覧ください。

CVE-2022-3176

GCP-2022-020

公開日: 2022 年 10 月 5 日

最終更新日: 2022 年 10 月 12 日

説明

説明 重大度 メモ

Istio コントロール プレーン istiod はリクエスト処理中のエラーに対して脆弱で、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

CVE-2022-39278

GCP-2022-019

公開日: 2022 年 9 月 22 日

説明

説明 重大度 メモ

ProtocolBuffer の C++ および Python 実装におけるメッセージ解析とメモリ管理の脆弱性により、特別に細工されたメッセージを処理するときにメモリ不足(OOM)障害が発生する可能性があります。これにより、ライブラリを使用するサービスに対してサービス拒否攻撃(DoS)を受けるおそれがあります。

必要な対策

次のソフトウェア パッケージの最新バージョンを使用していることを確認してください。

  • protobuf-cpp(3.18.3、3.19.5、3.20.2、3.21.6)
  • protobuf-python(3.18.3、3.19.5、3.20.2、4.21.6)

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです。

特別に構成された小さなメッセージにより、実行中のサービスが大量の RAM を割り当てる可能性があります。リクエストのサイズが小さいため、容易に脆弱性を悪用してリソースを枯渇させます。信頼できない protobuf を使用する C++ および Python システムの RPC リクエストに MessageSet オブジェクトが含まれている場合、DoS 攻撃を受ける可能性が高くなります。

CVE-2022-1941

GCP-2022-018

公開日:: 2022 年 8 月 1 日

最終更新日: 2022 年 9 月 14 日、2023 年 12 月 21 日

説明

説明 重大度 メモ

2023 年 12 月 21 日更新: デフォルト構成の GKE Autopilot クラスタが影響を受けないことを明確にしました。


2022 年 9 月 14 日更新: GKE on VMware、GKE on AWS、GKE on Azure のパッチ バージョンを追加しました。


Linux カーネルで、ローカルでの権限昇格につながる可能性がある新しい脆弱性(CVE-2022-2327)が見つかりました。この脆弱性により、権限のないユーザーがノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。

手順と詳細については、次の公開情報をご覧ください。

CVE-2022-2327

GCP-2022-017

公開日: 2022 年 6 月 29 日
最終更新日: 2022 年 11 月 22 日

説明

説明 重大度 メモ

2022 年 11 月 22 日更新: GKE Sandbox を使用するワークロードは、これらの脆弱性の影響を受けません。


2022 年 7 月 21 日更新: GKE on VMware に関する追加情報。


Linux カーネル バージョン 5.10 と 5.11 で、新しい脆弱性(CVE-2022-1786)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。Container-Optimized OS を実行しているクラスタのみが影響を受けます。GKE Ubuntu バージョンは、バージョン 5.4 または 5.15 のカーネルを使用しており、影響を受けません。

手順と詳細については、以下をご覧ください。

CVE-2022-1786

GCP-2022-016

公開日: 2022 年 6 月 23 日
最終更新日: 2022 年 11 月 22 日

説明

説明 重大度 メモ

2022 年 11 月 22 日更新: Autopilot クラスタは CVE-2022-29581 の影響を受けませんが、CVE-2022-29582 と CVE-2022-1116 に対して脆弱です。


Linux カーネルで 3 つの新しいメモリ破損の脆弱性(CVE-2022-29581、CVE-2022-29582、CVE-2022-1116)が見つかりました。この脆弱性により、クラスタへのローカル アクセス権限を持つ非特権ユーザーが、ノード上のルートで完全なコンテナ ブレイクアウトを引き起こす可能性があります。すべての Linux クラスタ(Container-Optimized OS と Ubuntu)が影響を受けます。

手順と詳細については、以下の公開情報をご覧ください。

GCP-2022-015

公開日: 2022 年 6 月 9 日
最終更新日: 2022 年 6 月 10 日

説明

説明 重大度 メモ

2022 年 6 月 10 日更新: Anthos Service Mesh のバージョンが更新されました。手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。


次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。

  • CVE-2022-31045: メタデータ交換と統計拡張機能が有効になっている場合、Istio データプレーンがメモリに安全にアクセスできない可能性があります。
  • CVE-2022-29225: 悪意のある攻撃者が小さな高圧縮ペイロード(zip 爆弾攻撃)を渡すと、データが中間バッファの上限を超えることがあります。
  • CVE-2021-29224: GrpcHealthCheckerImpl の null ポインタの逆参照の可能性。
  • CVE-2021-29226: OAuth フィルタによりバイパスが可能になります。
  • CVE-2022-29228: OAuth フィルタがメモリを破損(以前のバージョン)したり、ASSERT()(新しいバージョン)をトリガーする可能性があります。
  • CVE-2022-29227: 本文またはトレーラーを含むリクエストに対して内部リダイレクトがクラッシュします。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

重大

GCP-2022-014

公開日: 2022 年 4 月 26 日
最終更新日: 2022 年 11 月 22 日

説明

説明 重大度 メモ

2022 年 11 月 22 日更新: GKE Sandbox で実行中の GKE Autopilot クラスタとワークロードは影響を受けません。


2022 年 5 月 12 日更新: GKE on AWS と GKE on Azure のバージョンが更新されました。手順と詳細については、以下をご覧ください。

Linux カーネルで CVE-2022-1055CVE-2022-27666 の 2 つのセキュリティの脆弱性が見つかりました。いずれも、ローカルの攻撃者がコンテナ ブレークアウト、ホストでの権限昇格、またはその両方を実行できる可能性があります。これらの脆弱性は、すべての GKE ノード オペレーティング システム(Container-Optimized OS と Ubuntu)に影響します。手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

CVE-2022-1055
CVE-2022-27666

GCP-2022-013

公開日: 2022 年 4 月 11 日
最終更新日: 2022 年 4 月 22 日

説明

説明 重大度 メモ

OCI イメージ ボリューム仕様における containerd のパス走査の処理でセキュリティ上の脆弱性(CVE-2022-23648)が見つかりました。特別に細工されたイメージ構成で containerd の CRI 実装を使ってコンテナを起動すると、ホスト上の任意のファイルとディレクトリへの完全な読み取りアクセス権を取得できます。この脆弱性により、コンテナの設定に対するポリシーベースの適用(Kubernetes Pod セキュリティ ポリシーを含む)がバイパスされる可能性があります。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

CVE-2022-23648

GCP-2022-012

公開日: 2022 年 4 月 7 日
最終更新日: 2022 年 11 月 22 日

説明

説明 重大度 メモ

2022 年 11 月 22 日更新: Standard モードと Autopilot モードの両方の GKE クラスタで、GKE Sandbox を使用するワークロードは影響を受けません。


Linux カーネル バージョン 5.8 以降で、コンテナの権限を root に昇格できる可能性があるセキュリティ上の脆弱性(CVE-2022-0847)が見つかりました。この脆弱性の影響を受けるプロダクトは次のとおりです。

  • Container-Optimized OS イメージ(Container-Optimized OS 93 以降)を使用する GKE ノードプール バージョン 1.22 以降
  • Container-Optimized OS イメージ用の GKE on VMware v1.10
  • GKE on AWS v1.21 と GKE on AWS(旧世代)v1.19、v1.20、v1.21(Ubuntu を使用)
  • GKE on Azure v1.21 のマネージド クラスタ(Ubuntu を使用)

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

CVE-2022-0847

GCP-2022-011

公開日: 2022 年 3 月 22 日
最終更新日: 2022 年 8 月 11 日

説明

説明 重大度

2022 年 8 月 11 日更新: 同時マルチスレッディング(SMT)構成に関する情報を追加しました。SMT は無効になっていることが想定されていましたが、リストにあるバージョンでは有効になっています。

サンドボックス化されたノードプールに対して SMT を手動で有効にした場合、この問題が発生しても SMT は手動で有効にされたままになります。


GKE Sandbox イメージに、ハイパー スレッディングとも呼ばれる同時マルチ スレッディング(SMT)の構成ミスが存在します。構成ミスにより、ノードがマイクロアーキテクチャ データ サンプリング(MDS)などのサイドチャネル攻撃を受ける可能性があります(詳細については、GKE Sandbox のドキュメントをご覧ください)。影響を受ける次のバージョンの使用はおすすめしません。

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

GCP-2022-010

説明

説明 重大度 メモ

次の Istio CVE では、Anthos Service Mesh がリモートからの攻撃に利用できる脆弱性にさらされます。

  • CVE-2022-24726: Istio コントロール プレーン「istiod」はリクエスト処理中のエラーに対して脆弱で、悪意のある攻撃者が特別に細工されたメッセージを送信すると、クラスタの検証 Webhook が公開されたときにコントロール プレーンがクラッシュします。このエンドポイントは TLS ポート 15017 経由で提供されますが、攻撃者からの認証は必要ありません。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

GCP-2022-009

公開日: 2022 年 3 月 1 日

説明

説明 重大度

GKE Autopilot クラスタのノード VM にアクセスする予期せぬパスの一部が、クラスタ内の権限を昇格させるために使用された可能性があります。これらの問題は修正済みであり、これ以上の対応は必要ありません。この修正は、脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

GCP-2022-008

公開日: 2022 年 2 月 23 日
最終更新日: 2022 年 4 月 28 日

説明

説明 重大度 メモ

2022 年 4 月 28 日更新: これらの脆弱性を修正した GKE on VMware のバージョンを追加しました。詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。


先ごろ、Envoy プロジェクトで一連の脆弱性が発見されました。以下の問題はすべて Envoy リリース 1.21.1 で解決されています。
  • CVE-2022-23606: クラスタ検出サービス(CDS)でクラスタが削除されると、そのクラスタ内のエンドポイントに対して確立されたすべてのアイドル状態の接続が切断されます。Envoy バージョン 1.19 で、クラスタに多数のアイドル状態の接続がある場合に、スタックの枯渇や異常なプロセスの終了を引き起こす可能性がある手順に対して誤って再帰が導入されました。
  • CVE-2022-21655: Envoy の内部リダイレクトのコードでは、ルートエントリが存在することを前提としています。ダイレクト レスポンス エントリがあり、ルートエントリが存在しないルートに対して内部リダイレクトが行われると、null ポインタが参照解除され、クラッシュします。
  • CVE-2021-43826: Envoy が、アップストリーム トンネリング(HTTP 経由)とダウンストリーム TLS 終端を使用する tcp_proxy を使用するように構成されている場合、アップストリーム HTTP ストリームの確立中に、ダウンストリーム クライアントの TLS handshake で切断されると、Envoy がクラッシュします。ダウンストリームは、クライアントまたはサーバーのいずれかによって切断されます。クライアントがなんらかの理由で切断される可能性があります。サーバーに関しては、たとえば、クライアントと互換性のある TLS 暗号や TLS プロトコルのバージョンがない場合、接続を切断することがあります。こうしたクラッシュは、他のダウンストリーム構成でもトリガーされる可能性があります。
  • CVE-2021-43825: ローカルで生成されたレスポンスを送信すると、リクエストまたはレスポンス データのそれ以降の処理を停止する必要があります。Envoy は、バッファリングされたリクエスト データとレスポンス データの量を追跡し、バッファ内のデータの量が上限を超えた場合には 413 または 500 のレスポンスを送信してリクエストを中止します。ただし、フィルタ チェーンによってレスポンスが処理されているときに、内部バッファのオーバーフローが原因でローカルで生成したレスポンスが送信されると、オペレーションが正しく中止されず、解放されたメモリブロックにアクセスする可能性があります。
  • CVE-2021-43824: 「safe_regex」一致ルールを使用した JWT フィルタと「CONNECT host:port HTTP/1.1」のような特別に作成されたリクエストを使用している場合、Envoy がクラッシュします。JWT フィルタに到達すると、「safe_regex」ルールで URL パスが評価されても何もなく、Envoy は segfaults でクラッシュします。
  • CVE-2022-21654: mTLS 検証設定が再構成されると、Envoy が TLS セッション再開を誤って許可します。以前の構成でクライアント証明書が許可されており、新しい構成では許可されていない場合、現在の構成で禁止されていても、クライアントは以前の TLS セッションを再開できます。次の設定の変更が影響を受けます。
    • match_subject_alt_names
    • CRL の変更
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: Envoy は、ピアから受け入れる証明書のセットを、TLS クライアントまたは TLS サーバーとして、必要な extendedKeyUsage(それぞれ d-kp-serverAuth と id-kp-clientAuth)が含まれる証明書のみに制限しません。つまり、ピアはリーフ証明書またはチェーン内の CA としてメール証明書(id-kp-emailProtection など)を提示でき、TLS に受け入れられます。これは、CVE-2022-21656 と組み合わさると特に悪影響を及ぼします。つまり、S/MIME での使用のみを目的とした Web PKI CA を許容し、監査や管理対象外となって Envoy が受け入れる TLS 証明書を発行するためです。
  • CVE-2022-21656: デフォルトの証明書検証ルーチンの実装に使用されるバリデータ実装に、subjectAltNames の処理時の「型混乱」のバグがあります。この処理により、たとえば rfc822Name や uniformResourceIndicator がドメイン名として認証されます。この混乱により、基盤となる OpenSSL/BoringSSL 実装で処理される際に nameConstraints がバイパスされ、任意のサーバーになりすます可能性があります。
特定のプロダクトに関する詳細な手順については、次のセキュリティに関する公開情報をご覧ください。
必要な対策
独自の Envoy を管理しているユーザーは、Envoy リリース 1.21.1 を使用する必要があります。独自の Envoy を管理する Envoy ユーザーは、GitHub などのソースからバイナリをビルドしてデプロイします。

マネージド Envoy(Google Cloud が Envoy バイナリを提供)を実行しているユーザーが行う必要がある操作はありません。Google Cloud プロダクトは 1.21.1 に切り替わります。
CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-2022-21654
CVE-2022-21657
CVE-2022-21656

GCP-2022-007

公開日: 2022 年 2 月 22 日

説明

説明 重大度 メモ

次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。

  • CVE-2022-23635: 特別に作成された authorization ヘッダーでリクエストを受信すると、Istio がクラッシュします。
  • CVE-2021-43824: JWT フィルタ safe_regex の一致を使用すると null ポインタ逆参照が発生する可能性があります。
  • CVE-2021-43825: レスポンス フィルターがレスポンス データを増加させ、増加したデータがダウンストリーム バッファ制限を超える場合の「解放後の使用」。
  • CVE-2021-43826: アップストリーム接続の確立中にダウンストリームが切断された場合に、HTTP 経由で TCP をトンネリングする場合の「解放後の使用」。
  • CVE-2022-21654: 誤った構成処理により、検証設定が変更された後、再検証せずに mTLS セッションを再利用できます。
  • CVE-2022-21655: ダイレクト レスポンス エントリを含むルートへの内部リダイレクトが正しく処理されません。
  • CVE-2022-23606: クラスタ ディスカバリ サービスを介してクラスタが削除されると、スタックが枯渇します。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

GCP-2022-006

公開日: 2022 年 2 月 14 日
最終更新日: 2022 年 5 月 16 日

説明

説明 重大度 メモ

2022 年 5 月 16 日更新: この脆弱性を修正するためのコードが含まれているバージョンのリストに GKE バージョン 1.19.16-gke.7800 以降を追加しました。詳細については、GKE のセキュリティに関する公開情報をご覧ください。


2022 年 5 月 12 日更新: GKE、GKE on VMware、GKE on AWS、GKE on Azure のバージョンが更新されました。手順と詳細については、以下をご覧ください。


セキュリティ上の脆弱性 CVE-2022-0492 が Linux カーネルの cgroup_release_agent_write 関数で見つかりました。攻撃には権限のないユーザーの名前空間が使用されます。この脆弱性により、特定の状況下でコンテナ ブレイクアウトが引き起こされる可能性があります。

手順と詳細については、以下をご覧ください。

GCP-2022-005

公開日: 2022 年 2 月 11 日
最終更新日: 2022 年 2 月 15 日

説明

説明 重大度 メモ

3.73 または 3.68.1 より前の NSS(Network Security Services)バージョンで見つかった脆弱性のあるバージョンの libnss3 にリンクするバイナリで、セキュリティ上の脆弱性 CVE-2021-43527 が見つかりました。NSS を証明書の検証や、TLS、X.509、OCSP、CRL などの機能に使用しているアプリケーションは、NSS の使用方法や構成に応じて影響を受ける可能性があります。

手順と詳細については、以下をご覧ください。

CVE-2021-43527

GCP-2022-004

公開日: 2022 年 2 月 4 日

説明

説明 重大度 メモ

セキュリティ上の脆弱性 CVE-2021-4034 が Linux ポリシーキット パッケージ(polkit)の一部である pkexec で見つかりました。この脆弱性は、認証済みのユーザーが権限昇格攻撃を実行できるというものです。PolicyKit は通常、Linux デスクトップ システム上でのみ使用され、root 以外のユーザーがポリシーに沿ってシステムの再起動、パッケージのインストール、サービスの再起動などの操作を実行できるようにするものです。

手順と詳細については、以下をご覧ください。

なし CVE-2021-4034

GCP-2022-002

公開日: 2022 年 2 月 1 日
最終更新日: 2022 年 2 月 25 日

説明

説明 重大度 メモ

2022 年 2 月 25 日更新: GKE のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。

2022 年 2 月 23 日更新: GKE と GKE on VMware のバージョンが更新されました。設定手順と詳細については、以下をご覧ください。


2022 年 2 月 4 日更新: GKE パッチ バージョンのロールアウト開始日は 2 月 2 日でした。


Linux カーネルで 3 つのセキュリティ脆弱性 CVE-2021-4154CVE-2021-22600CVE-2022-0185 が見つかりました。これらは、それぞれコンテナ ブレイクアウト、ホストに対する権限昇格、またはその両方につながる可能性があります。これらの脆弱性は、GKE 上のすべてのノード オペレーティング システム(COS と Ubuntu)、GKE on VMware、GKE on AWS(最新および旧世代)、GKE on Azure に影響します。GKE Sandbox を使用する Pod には、これらの脆弱性はありません。詳細については、リリースノートをご覧ください。

手順と詳細については、以下をご覧ください。

GCP-2022-001

公開日: 2022 年 1 月 6 日

説明

説明 重大度 メモ

バイナリデータの解析手順で、protobuf-java におけるサービス拒否攻撃の問題が見つかりました。

必要な対策

次のソフトウェア パッケージの最新バージョンを使用していることを確認してください。

  • protobuf-java(3.16.1、3.18.2、3.19.2)
  • protobuf-kotlin(3.18.2、3.19.2)
  • google-protobuf [JRuby gem](3.19.2)

Protobuf「javalite」ユーザー(通常は Android)は影響を受けません。

このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです。

Java で不明なフィールドを解析する方法の実装に存在する脆弱性。800 KB 程度の小さな悪意のあるペイロードにより、短命なオブジェクトを多数作成することでガベージ コレクションを頻繁かつ繰り返し発生させ、パーサーを数分間占有することが可能です。

CVE-2021-22569

GCP-2021-024

公開日: 2021 年 10 月 21 日

説明

説明 重大度 メモ

Kubernetes の ingress-nginx コントローラ CVE-2021-25742 でセキュリティの問題が見つかりました。Ingress-nginx カスタム スニペットを使用すると、すべての名前空間で ingress-nginx サービス アカウント トークンとシークレットを取得できます。

手順と詳細については、以下をご覧ください。

なし CVE-2021-25742

GCP-2021-019

公開日: 2021 年 9 月 29 日

説明

説明 重大度 メモ

v1beta1 API を使用して BackendConfig リソースを更新すると、サービスからアクティブな Google Cloud Armor セキュリティ ポリシーが削除されるという既知の問題があります。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

GCP-2021-022

公開日: 2021 年 9 月 22 日

説明

説明 重大度 メモ

GKE on VMware バージョン 1.8 および 1.8.1 の GKE Enterprise Identity Service(AIS)LDAP モジュールで、鍵の生成に使用されるシード鍵を予測できる脆弱性が見つかりました。この脆弱性により、認証されたユーザーが任意のクレームを追加して、権限を無期限にエスカレーションできるようになります。

設定手順と詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。

GCP-2021-021

公開日: 2021 年 9 月 22 日

説明

説明 重大度 メモ

セキュリティ上の脆弱性 CVE-2020-8561 が Kubernetes で見つかりました。これは、kube-apiserver リクエストをその API サーバーのプライベート ネットワークにリダイレクトする Webhook を作成できるものです。

手順と詳細については、以下をご覧ください。

CVE-2020-8561

GCP-2021-023

公開日: 2021 年 9 月 21 日

説明

説明 重大度 メモ

VMware セキュリティ アドバイザリ VMSA-2021-0020 によると、vCenter に関して複数の脆弱性が報告されました。VMware では、影響を受ける VMware 製品の脆弱性修正のため、アップデートを行いました。

Google では、vSphere スタック用に VMware から提供されたパッチを VMware セキュリティ アドバイザリに従って Google Cloud VMware Engine に適用しました。このアップデートは、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22010 のセキュリティ脆弱性に対応しています。その他の重要ではないセキュリティ問題については、今後の VMware スタックのアップグレードで対処する予定です(7 月にお送りしたお知らせに、アップグレードの具体的なタイムラインが記載されています)。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-020

公開日: 2021 年 9 月 17 日

説明

説明 重大度 メモ

Identity-Aware Proxy(IAP)が有効なバックエンド サービスにルーティングする Google Cloud の特定のロードバランサで、限定された条件下において信頼できないグループに対して脆弱な状態になる可能性があります。これは、Google の脆弱性報奨金プログラムを通じて報告された事象に対処したものです。

この問題はサーバーが次の条件を満たす場合に発生します。
  • HTTP(S) ロードバランサであった。かつ
  • デフォルトのバックエンド、またはワイルドカード ホスト マッピング ルール(つまり、host="*")を持つバックエンドを使用した

さらに、組織内のユーザーが、信頼できないグループから送信された特別に作成されたリンクをクリックした。

現在、この問題は解決しています。2021 年 9 月 17 日の時点で、認証済みのホストにのみ Cookie を発行するように IAP が更新されました。ホストが認証済みとみなされるのは、ロードバランサにインストールされているいずれかの証明書の少なくとも 1 つのサブジェクト代替名(SAN)と一致する場合です。

手順

お客様の一部のユーザーに対し、アプリまたはサービスにアクセスしようとしたときに、HTTP 401 Unauthorized レスポンスと IAP エラーコード 52 が返される場合があります。このエラーコードは、ロードバランサの SSL 証明書に関連付けられたサブジェクト代替名と一致しない Host ヘッダーをクライアントが送信したことを意味します。ロードバランサの管理者は、SSL 証明書を更新して、サブジェクト代替名(SAN)リストに、IAP で保護されたアプリまたはサービスにユーザーがアクセスするために使用するすべてのホスト名が含まれるようにする必要があります。IAP エラーコードの詳細

GCP-2021-018

公開日: 2021 年 9 月 15 日
最終更新日: 2021 年 9 月 20 日

説明

説明 重大度 メモ

Kubernetes で CVE-2021-25741 に記載されたセキュリティの問題が見つかりました。これにより、ユーザーが subpath ボリューム マウントを使用するコンテナを作成し、ボリュームの外部(ホストのファイルシステムを含む)にあるファイルとディレクトリにアクセスできる可能性があります。

手順と詳細については、以下をご覧ください。

CVE-2021-25741

GCP-2021-017

公開日: 2021 年 9 月 1 日
最終更新日: 2021 年 9 月 23 日

説明

説明 重大度 メモ

2021 年 9 月 23 日更新: GKE Sandbox 内で動作するコンテナは、コンテナ内で発生した攻撃に対して、この脆弱性の影響を受けません。


Linux カーネルで 2 つのセキュリティ脆弱性 CVE-2021-33909 と CVE-2021-33910 が見つかりました。これらは、OS のクラッシュや権限のないユーザーによる root へのエスカレーションにつながる可能性があります。この脆弱性は、すべての GKE ノードのオペレーティング システム(COS と Ubuntu)に影響を及ぼします。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

CVE-2021-33909CVE-2021-33910

GCP-2021-016

公開日: 2021 年 8 月 24 日

説明

説明 重大度 メモ

次の Envoy と Istio の CVE は、リモートで悪用可能な脆弱性に対して Anthos Service Mesh と GKE on Istio が無防備な状態になります。

  • CVE-2021-39156: URI パスにフラグメント(# 文字で始まる URI の末尾の部分)を含む HTTP リクエストが、Istio の URI パスベースの認可ポリシーをバイパスする可能性があります。
  • CVE-2021-39155: hosts または notHosts ベースのルールを使用している場合、HTTP リクエストで Istio 認証ポリシーがバイパスされる可能性があります。
  • CVE-2021-32781: Envoy の decompressorjson-transcodergrpc-web 拡張機能またはリクエストやレスポンスの本文のサイズを変更および拡大する独自の拡張機能に影響します。Envoy の拡張機能で本文のサイズを変更し、内部バッファサイズより大きくすると、Envoy が割り当て解除されたメモリにアクセスし、異常終了する可能性があります。
  • CVE-2021-32780: 信頼できないアップストリーム サービスが、SETTINGS_MAX_CONCURRENT_STREAMS パラメータが 0 に設定された GOAWAY フレームとそれに続く SETTINGS フレームを送信することで、Envoy が異常終了する可能性があります(Istio on GKE には適用されません)。
  • CVE-2021-32778: Envoy クライアントが多数の HTTP/2 リクエストを開いてリセットすると、CPU が過剰に消費される可能性があります(Istio on GKE には適用されません)。
  • CVE-2021-32777: ext_authz 拡張機能が使用されている場合、複数の値ヘッダーを含む HTTP リクエストで不完全な承認ポリシー チェックが実行されることがあります。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

GCP-2021-015

公開日: 2021 年 7 月 13 日
最終更新日: 2021 年 7 月 15 日

説明

説明 重大度 メモ

新たなセキュリティ上の脆弱性 CVE-2021-22555 が発見されました。この脆弱性によって、CAP_NET_ADMIN 権限を持つ悪意のある人物が、ホストへのルート上でコンテナ ブレイクアウトを引き起こすおそれがあります。この脆弱性は、Linux バージョン 2.6.19 以降を実行しているすべての GKE クラスタと GKE on VMware に影響します。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

CVE-2021-22555

GCP-2021-014

公開日: 2021 年 7 月 5 日

説明

説明 重大度 メモ

Microsoft は、Windows Server の印刷スプーラーに影響するリモートコード実行(RCE)の脆弱性 CVE-2021-34527 についてのセキュリティ情報を公開しました。CERT Coordination Center(CERT/CC)は、「Printnightmare」と呼ばれる、関連する脆弱性に対する更新メモを公開しました。この脆弱性は Windows 印刷スプーラーにも影響します(Printnightmare、重大な Windows 印刷スプーラーの脆弱性)。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

CVE-2021-34527

GCP-2021-012

公開日: 2021 年 6 月 24 日
最終更新日: 2021 年 7 月 9 日

説明

説明 重大度 メモ

先ごろ、Istio プロジェクトによって、ゲートウェイと DestinationRule の credentialName フィールドで指定された認証情報に異なる名前空間からアクセスできるようになるというセキュリティの脆弱性が発表されました。

サービス固有の手順と詳細については、以下をご覧ください。

CVE-2021-34824

GCP-2021-011

公開日: 2021 年 6 月 4 日
最終更新日: 2021 年 10 月 19 日

説明

説明 重大度 メモ

2021 年 10 月 19 日更新:

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。


先ごろ、セキュリティ コミュニティが runc にセキュリティ上の新しい脆弱性(CVE-2021-30465)があることを発表しました。この脆弱性により、ノード ファイル システムに対する完全アクセス権が取得される可能性があります。

この脆弱性を悪用するためにはポッドを作成する能力が必要であるため、GKE では、この脆弱性の重大度を MEDIUM と評価しています。

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

CVE-2021-30465

GCP-2021-010

公開日: 2021 年 5 月 25 日

説明

説明 重大度 メモ

VMware セキュリティ アドバイザリ VMSA-2021-0010 によると、vSphere Client(HTML5)のリモートコード実行と認証バイパスに関する脆弱性が VMware に非公開で報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを作成しました。

Google では、VMware セキュリティ アドバイザリに従い、vSphere スタック用に VMware が提供するパッチを適用しました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されているセキュリティ上の脆弱性に対応しています。現時点で、VMware Engine プライベート クラウドで実行されているイメージ バージョンには、パッチが適用済みであることを示す変更は反映されていません。適切なパッチがインストールされ、お客様の環境はこれらの脆弱性から保護されていますので、ご安心ください。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-008

公開日: 2021 年 5 月 17 日

説明

説明 重大度 メモ

Istio には、ゲートウェイが AUTO_PASSTHROUGH ルーティング構成で構成されている場合に、リモートから悪用できる脆弱性が存在します。この脆弱性により、外部クライアントが認証チェックを回避し、クラスタ内の想定されていないサービスにアクセスされる可能性があります。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

CVE-2021-31921

GCP-2021-007

公開日: 2021 年 5 月 17 日

説明

説明 重大度 メモ

Istio には、パスベースの認証ルールが使用されている場合に、リモートから悪用できる脆弱性が含まれています。この脆弱性により、複数のスラッシュやエスケープされたスラッシュ文字(%2F または %5C)を含む HTTP リクエストパスが、Istio 認可ポリシーを迂回できる可能性があります。

手順と詳細については、Anthos Service Mesh のセキュリティに関する公開情報をご覧ください。

CVE-2021-31920

GCP-2021-006

公開日: 2021 年 5 月 11 日

説明

説明 重大度 メモ

先ごろ、Istio プロジェクトでは、Istio に影響を与える新しいセキュリティの脆弱性(CVE-2021-31920)が公表されました。

Istio には、パスベースの承認ルールを使用している場合にリモートから悪用できる脆弱性が含まれており、これを利用すると、複数のスラッシュやエスケープされたスラッシュ記号を含む HTTP リクエストが Istio 認可ポリシーを迂回できるようになります。

手順と詳細については、以下をご覧ください。

CVE-2021-31920

GCP-2021-005

公開日: 2021 年 5 月 11 日

説明

説明 重大度 メモ

報告された脆弱性により、Envoy は Envoy バージョン 1.18.2 以前の HTTP URL パス内のエスケープされたスラッシュ シーケンス %2F%5C をデコードしないことがわかりました。また、Envoy ベースの一部のプロダクトでは、パスの正規化コントロールが有効になりません。リモートの攻撃者がエスケープされたスラッシュ(/something%2F..%2Fadmin, など)付きのパスを作成して、アクセス制御(/admin に対するブロックなど)をバイパスする可能性があります。バックエンド サーバーがスラッシュ シーケンスのデコードとパスの正規化を行うことによって、攻撃者が、アクセス制御ポリシーによって提供されるスコープを超えてアクセスできる可能性が生じます。

必要な対策

バックエンド サーバーが /%2F または \%5C を同義として扱い、URL パスに基づくマッチングが構成されている場合、\%2F または \%5C を同義として扱わないようにバックエンド サーバーを再構成することをおすすめします(可能な場合)。

導入された動作変更

Envoy の normalize_path オプションと隣接するスラッシュを結合するオプションを使用して、Envoy ベースのプロダクトで他の一般的なパスの混乱の脆弱性に対処できるようになりました。

CVE-2021-29492

GCP-2021-004

公開日: 2021 年 5 月 6 日

説明

説明 重大度 メモ

Envoy と Istio のプロジェクトは、最近、攻撃者が Envoy をクラッシュさせるおそれがある新しいセキュリティ上の脆弱性(CVE-2021-28683CVE-2021-28682CVE-2021-29258)を発表しました

Google Kubernetes Engine クラスタは、デフォルトでは Istio を実行しないため、脆弱性はありません。Istio がクラスタにインストールされ、インターネットにサービスを公開するように構成されている場合、このサービスにはサービス拒否攻撃を受ける脆弱性が存在する可能性があります。

Google Distributed Cloud Virtual for Bare Metal と GKE on VMware は、デフォルトで Ingress に Envoy を使用するため、Ingress サービスがサービス拒否攻撃に対して脆弱性を持つ可能性があります。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

GCP-2021-003

公開日: 2021 年 4 月 19 日

説明

説明 重大度 メモ

先ごろ、Kubernetes プロジェクトが新しいセキュリティ上の脆弱性 CVE-2021-25735発表しました。この脆弱性が悪用されると、ノードの更新で Validating Admission Webhook がバイパスされる可能性があります。

攻撃者に十分な権限があり、古い Node オブジェクト プロパティ(Node.NodeSpec のフィールドなど)を使用する Validating Admission Webhook が実装されている場合、攻撃者はノードのプロパティの更新が可能となり、これによりクラスタが侵害される可能性があります。GKE と Kubernetes の組み込みのアドミッション コントローラによって適用されるポリシーは影響を受けませんが、お客様がインストールした追加の Admission Webhook を確認することをおすすめします。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

CVE-2021-25735

GCP-2021-002

公開日: 2021 年 3 月 5 日

説明

説明 重大度 メモ

VMware セキュリティ アドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント(HTML5)に複数の脆弱性に関する報告を受けました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。

Google では、VMware セキュリティ アドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されている脆弱性に対応しています。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-001

公開日: 2021 年 1 月 28 日

説明

説明 重大度 メモ

先ごろ、Linux ユーティリティ sudo に脆弱性(CVE-2021-3156 に記載)が発見されました。この脆弱性により、特権を持たないローカルシェル セッションの攻撃者がインストールされている sudo を使用してシステムにアクセスし、権限をシステムの root に昇格させるおそれがあります。

Compute Engine を実行する基盤となるインフラストラクチャは、この脆弱性の影響を受けません。

この脆弱性は、すべての Google Kubernetes Engine(GKE)、VMware on GKE、AWS 上の GKE、Google Distributed Cloud Virtual for Bare Metal には影響しません。

手順と詳細については、次のセキュリティに関する公開情報をご覧ください。

なし CVE-2021-3156

GCP-2020-015

公開日: 2020 年 12 月 7 日
最終更新日: 2020 年 12 月 22 日

説明

説明 重大度 メモ

2021 年 12 月 22 日更新: 次のセクションの GKE のコマンドでは、gcloud コマンドではなく gcloud beta を使用する必要があります。


gcloud container clusters update –no-enable-service-externalips

2021 年 12 月 15 日更新: GKE について、以下の緩和策が利用可能です。
  1. GKE バージョン 1.21 以降、ExternalIP を持つサービスは、新しいクラスタ用にデフォルトで有効になっている DenyServiceExternalIPs アドミッション コントローラによってブロックされます。
  2. GKE バージョン 1.21 にアップグレードするお客様は、次のコマンドを使用して ExternalIPs を持つサービスをブロックできます。
    
    gcloud container clusters update –no-enable-service-externalips
    

詳細については、クラスタのセキュリティの強化をご覧ください。


Kubernetes プロジェクトで最近見つかった新しいセキュリティの脆弱性 CVE-2020-8554 では、LoadBalancer または ClusterIP タイプの Kubernetes Service を作成する権限を取得した攻撃者が、クラスタ内の他の Pod から発信されるネットワーク トラフィックをインターセプトできる可能性があります。この脆弱性だけでは、攻撃者が Kubernetes Service を作成する権限は付与されません。

この脆弱性の影響を受けるのは、すべての Google Kubernetes Engine(GKE)、GKE on VMware、GKE on AWS クラスタです。

必要な対策

手順と詳細については、以下をご覧ください。

CVE-2020-8554

GCP-2020-014

公開日: 2020 年 10 月 20 日
最終更新日: 2020 年 10 月 20 日

説明

説明 重大度 メモ

最近、Kubernetes プロジェクトでは、詳細ロギング オプションが有効になっている場合にシークレット データが公開されてしまういくつかの問題を確認しました。問題は次のとおりです。

  • CVE-2020-8563: vSphere プロバイダ kube-controller-manager のログで Secret が漏えいする
  • CVE-2020-8564: ファイルが不正で、ログレベルが 4 以上の場合に Docker 構成ファイルの Secret が漏えいする
  • CVE-2020-8565: Kubernetes の CVE-2019-11250 の不完全な修正により、ログレベルが 9 以上の場合にログのトークンが漏えいするこれは、GKE Security によって発見されました。
  • CVE-2020-8566: ログレベルが 4 以上の場合に、ログの Ceph RBD adminSecret が漏えいする

必要な対策

GKE のデフォルトの詳細ロギングレベルでは、これ以上のアクションは必要ありません。

なし

Google Cloud への影響

プロダクトごとの詳細については、以下をご覧ください。

プロダクト

影響

Google Kubernetes Engine(GKE)

Google Kubernetes Engine(GKE)は影響を受けません。

GKE On-Prem

GKE On-Prem は影響を受けません。

GKE on AWS

GKE on AWS は影響を受けません。

GCP-2020-013

公開日: 2020 年 9 月 29 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性

重大度

CVE

CVE-2020-1472 - Windows Server の脆弱性により、攻撃者が Netlogon Remote Protocol を使用して、ネットワーク上のデバイス上で特別に細工したアプリケーションを実行するおそれがあります。

NVD ベーススコア: 10(重大)

CVE-2020-1472

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。

プロダクト

影響

Compute Engine

CVE-2020-1472

ほとんどのお客様は、以後の対応は必要ありません。

Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、2020 年 8 月 17 日以降に公開された Windows Server イメージ(v20200813 以降)を使用する必要があります。

Google Kubernetes Engine

CVE-2020-1472

ほとんどのお客様は、以後の対応は必要ありません。

GKE Windows Server ノードでドメイン コントローラをホストしているお客様は、ノードと、ノード上で実行されるコンテナ化されたワークロードの両方で、最新の Windows ノードイメージ(使用可能な場合)を使用する必要があります。新しいノードイメージ バージョンは 10 月に GKE リリースノートで発表される予定です。

Managed Service for Microsoft Active Directory

CVE-2020-1472

ほとんどのお客様は、以後の対応は必要ありません。

NetLogon プロトコルに対する修正が含まれる Microsoft がリリースした 8 月パッチが、すべてのマネージド Microsoft AD ドメイン コントローラに適用されました。このパッチでは、潜在的な悪用を防ぐための機能が提供されます。パッチを適時に適用することは、Managed Service for Microsoft Active Directory を使用する主な利点の 1 つです。Microsoft Active Directory を手動で実行する(Google Cloud のマネージド サービスを使用しない)お客様は、インスタンスに最新の Windows パッチを適用するか、Windows Server イメージを使用する必要があります。

Google Workspace

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine スタンダード環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine フレキシブル環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Functions

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Composer

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataflow

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataproc

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud SQL

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

GCP-2020-012

公開日: 2020 年 9 月 14 日
最終更新日: 2020 年 9 月 17 日

説明

説明 重大度 メモ

先ごろ、Linux カーネルに脆弱性 CVE-2020-14386 が発見されました。この脆弱性により、コンテナがエスケープ処理を行ってホストノードの root 権限を奪ってしまうおそれがあります。

すべての GKE ノードが影響を受けます。GKE Sandbox で実行中の Pod はこの脆弱性の影響を受けません。

手順と詳細については、以下をご覧ください。


このパッチで対処される脆弱性

このパッチで緩和される脆弱性は以下のとおりです。

脆弱性 CVE-2020-14386。CAP_NET_RAW
を備えたコンテナでは、1~10 バイトのカーネルメモリを書き込み、場合によってはコンテナをエスケープしてホストノードの root 権限を取得できます。この脆弱性の重大度評価は高です。

CVE-2020-14386

GCP-2020-011

公開日: 2020 年 7 月 24 日

説明

説明 重大度 メモ

先ごろ、ネットワークに関する脆弱性 CVE-2020-8558 が Kubernetes で発見されました。Service は、ローカル ループバック インターフェース(127.0.0.1)を使用して同じ Pod 内で実行されている他のアプリケーションと通信することがあります。この脆弱性により、クラスタのネットワークにアクセスできる攻撃者が、隣接する Pod とノードのループバック インターフェースにトラフィックを送信できてしまいます。Pod の外部からループバック インターフェースにアクセスできないことに依存している Service が侵害される可能性があります。

手順と詳細については、以下をご覧ください。

低(GKE、GKE on AWS)、
中(GKE on VMware)

CVE-2020-8558

GCP-2020-010

公開日: 2020 年 7 月 27 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性

重大度

CVE

CVE-2020-1350 - DNS サーバーとして動作する Windows Server には、ローカル システム アカウントで信頼できないコードを実行できるという脆弱性があります。

NVD ベーススコア: 10.0(重大)

CVE-2020-1350

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。

プロダクト

影響

Compute Engine

CVE-2020-1350

ほとんどのお客様は、以後の対応は必要ありません。

DNS サーバーとして Windows Server を実行している Compute Engine 仮想マシンを使用する場合は、インスタンスに最新の Windows パッチを適用するか、2020 年 7 月 14 日以降の Windows Server イメージを使用する必要があります。

Google Kubernetes Engine

CVE-2020-1350

ほとんどのお客様は、以後の対応は必要ありません。

DNS サーバーとして使用している Windows Server ノードで GKE を使用している場合、ノードとそのノードで実行するコンテナ化されたワークロードを、修正を含む Windows サーバー バージョンに手動で更新する必要があります。

Managed Service for Microsoft Active Directory

CVE-2020-1350

ほとんどのお客様は、以後の対応は必要ありません。

管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行する(マネージド Microsoft AD を使用しない)お客様は、インスタンスに最新の Windows パッチを適用するか、2020 年 7 月 14 日以降の Windows Server イメージを使用する必要があります。

Google Workspace

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine スタンダード環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine フレキシブル環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Functions

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Composer

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataflow

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataproc

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud SQL

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

GCP-2020-009

公開日: 2020 年 7 月 15 日

説明

説明 重大度 メモ

先ごろ、権限昇格に関する脆弱性 CVE-2020-8559 が Kubernetes で発見されました。この脆弱性により、ノードを不正使用した攻撃者が、クラスタ内の任意の Pod でコマンドを実行できてしまいます。これにより、攻撃者はすでに不正使用したノードを使用して他のノードを不正使用し、情報の読み取りや、破壊的な操作をする可能性があります。

攻撃者がこの脆弱性を悪用するには、クラスタ内のノードがすでに不正使用されている必要があります。この脆弱性だけで、クラスタ内のノードが不正使用されることはありません。

手順と詳細については、以下をご覧ください。

CVE-2020-8559

GCP-2020-008

公開日: 2020 年 6 月 19 日

説明

説明 重大度 メモ

説明

OS Login が有効になっている VM は、権限昇格の脆弱性の影響を受ける可能性があります。これらの脆弱性により、OS Login 権限を付与されたユーザー(ただし、管理者アクセス権は付与されていない)が VM で root アクセス権を取得する可能性があります。

手順と詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

GCP-2020-007

公開日: 2020 年 6 月 1 日

説明

説明 重大度 メモ

最近、Kubernetes でサーバー側のリクエスト フォージェリ(SSRF)の脆弱性 CVE-2020-8555 が検出され、特定の承認済みユーザーがコントロール プレーン ホスト ネットワークから最大 500 バイトの機密情報を漏洩する可能性が生じました。Google Kubernetes Engine(GKE)コントロール プレーンでは、Kubernetes のコントローラを使用するため、この脆弱性の影響を受けます。コントロール プレーンを最新のパッチ バージョンにアップグレードすることをおすすめします。ノードのアップグレードは不要です。

手順と詳細については、以下をご覧ください。

CVE-2020-8555

GCP-2020-006

公開日: 2020 年 6 月 1 日

説明

説明 重大度 メモ

Kubernetes は、特権コンテナでノード トラフィックを別のコンテナにリダイレクトできるようになる脆弱性を公表しました。kubelet と API サーバーの間の相互 TLS/SSH トラフィックや、mTLS を使用するアプリケーションからのトラフィックは、この攻撃によって読み取ることも変更することもできません。この脆弱性は、すべての Google Kubernetes Engine(GKE)ノードに影響します。最新のパッチ バージョンにアップグレードすることをおすすめします。

手順と詳細については、以下をご覧ください。

Kubernetes の問題 91507

GCP-2020-005

公開日: 2020 年 5 月 7 日

説明

脆弱性

重大度

CVE

先ごろ、Linux カーネルに脆弱性 CVE-2020-8835 が発見されました。この脆弱性により、コンテナがエスケープ処理を行い、ホストノードの root 権限が取得されるおそれがあります。

この脆弱性は、GKE 1.16 または 1.17 を実行する Google Kubernetes Engine(GKE)Ubuntu ノードに影響します。できるだけ早く最新のパッチ バージョンにアップグレードすることをおすすめします。

手順と詳細については、GKE のセキュリティに関する情報をご覧ください。

CVE-2020-8835

GCP-2020-004

公開日: 2020 年 3 月 31 日
最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性

重大度

CVE

CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。

CVE-2019-11254

手順と詳細については、GKE on VMware のセキュリティに関する公開情報をご覧ください。

GCP-2020-003

公開日: 2020 年 3 月 31 日
最終更新日: 2020 年 3 月 31 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性

重大度

CVE

CVE-2019-11254 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。

CVE-2019-11254

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

GCP-2020-002

公開日: 2020 年 3 月 23 日
最終更新日: 2020 年 3 月 23 日

説明

次の脆弱性が Kubernetes により公表されました。

脆弱性

重大度

CVE

CVE-2020-8551 - これは kubelet に影響を与えるサービス拒否攻撃(DoS)の脆弱性です。

CVE-2020-8551

CVE-2020-8552 - これは API サーバーに影響を与えるサービス拒否攻撃(DoS)の脆弱性です。

CVE-2020-8552

手順と詳細については、GKE のセキュリティに関する公開情報をご覧ください。

GCP-2020-001

公開日: 2020 年 1 月 21 日
最終更新日: 2020 年 1 月 21 日

説明

次の脆弱性が Microsoft により公表されました。

脆弱性

重大度

CVE

CVE-2020-0601 - この脆弱性は Windows Crypto API のなりすましの脆弱性とも呼ばれます。これを悪用すると、悪意ある実行可能ファイルを信頼されたもののように見せかけることができます。また、攻撃者が中間者攻撃を行って標的ソフトウェアへの接続上で秘密情報を復号することも可能です。

NVD ベーススコア: 8.1(高)

CVE-2020-0601

詳しくは、Microsoft の開示情報をご覧ください。

Google Cloud への影響

この脆弱性は、Google Cloud と Google のサービスをホストするインフラストラクチャには影響しません。プロダクトごとの詳細については、以下をご覧ください。

プロダクト

影響

Compute Engine

CVE-2020-0601

ほとんどのお客様は、以後の対応は必要ありません。

Windows Server を実行している Compute Engine 仮想マシンでは、インスタンスに最新の Windows パッチを適用するか、1/15/2020 以降の Windows Server イメージを使用する必要があります。詳細については、Compute Engine のセキュリティに関する情報をご覧ください。

Google Kubernetes Engine

CVE-2020-0601

ほとんどのお客様は、以後の対応は必要ありません。

Windows Server ノードで GKE を使用している場合は、この脆弱性を軽減するために、ノードとそれらのノード上で実行されるコンテナ化されたワークロードの両方をパッチ適用済みバージョンに更新する必要があります。手順と詳細については、GKE のセキュリティ情報をご覧ください。

Managed Service for Microsoft Active Directory

CVE-2020-0601

ほとんどのお客様は、以後の対応は必要ありません。

管理対象の Microsoft AD ドメインはすべて、パッチ適用済みのイメージで自動的に更新されています。Microsoft Active Directory を手動で実行する(マネージド Microsoft AD を使用しない)お客様は、インスタンスに最新の Windows パッチを適用するか、2020 年 1 月 15 日以降の Windows Server イメージを使用する必要があります。

Google Workspace

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine スタンダード環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

App Engine フレキシブル環境

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Run

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Functions

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud Composer

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataflow

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Dataproc

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

Cloud SQL

お客様による対応は必要ありません。

このサービスはこの脆弱性による影響を受けません。

GCP-2019-001

公開日: 2019 年 11 月 12 日
最終更新日: 2019 年 11 月 12 日

説明

Intel により次の脆弱性が開示されました。

脆弱性

重大度

CVE

CVE-2019-11135 - TSX の非同期中止(TAA)と呼ばれるこの脆弱性は、TSX のトランザクション内で投機的実行の悪用に使用される可能性があります。この脆弱性により、Microarchitectural Data Sampling(MDS)によって読み出されたマイクロアーキテクチャのデータ構造を通してデータが公開されてしまう可能性があります。

CVE-2019-11135

CVE-2018-12207 - 仮想マシンのホスト(ゲストではない)に影響を及ぼすサービス拒否攻撃(DoS)の脆弱性が存在します。この問題は、「ページサイズ変更によるマシンチェック エラー」として知られています。

CVE-2018-12207

詳しくは、Intel の開示情報をご覧ください。

Google Cloud への影響

Google Cloud および Google プロダクトをホストしているインフラストラクチャは、これらの脆弱性から保護されています。プロダクトごとの詳細については、以下をご覧ください。

プロダクト

影響

Compute Engine

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

Compute Engine 仮想マシン内の独自のマルチテナント サービスで信頼できないコードを実行している N2、C2、M2 のお客様は、VM をいったん停止してから再起動して、最新のセキュリティ対策が適用された状態にする必要があります。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

Google Kubernetes Engine

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

使用しているノードプールに N2、M2、または C2 マシンタイプのノードが含まれていて、それらのノードが独自のマルチテナント GKE クラスタ内で信頼できないコードを実行している場合は、ノードを再起動する必要があります。ノードプール内のすべてのノードを再起動する場合は、影響を受けるノードプールをアップグレードしてください。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

App Engine スタンダード環境

追加のアクションを行う必要はありません。

App Engine フレキシブル環境

CVE-2019-11135

追加のアクションを行う必要はありません。

フレキシブル環境の VM 内のハイパースレッド間でアプリケーション レベルの共有が起こる可能性に関連して、Intel からベスト プラクティスが公開されています。必ずご確認ください。

CVE-2018-12207

追加のアクションを行う必要はありません。

Cloud Run

追加のアクションを行う必要はありません。

Cloud Functions

追加のアクションを行う必要はありません。

Cloud Composer

追加のアクションを行う必要はありません。

Dataflow

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

Dataflow によって管理されている N2、C2、または M2 マシンタイプの Compute Engine VM で複数の信頼できないワークロードを実行している Dataflow のお客様で、ゲスト内攻撃の心配がある場合は、現在実行中のストリーミング パイプラインの再起動を検討してください。必要に応じて、バッチ パイプラインをいったんキャンセルし、再実行します。本日以降に開始したパイプラインの場合は、必要なアクションはありません。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

Dataproc

CVE-2019-11135

ほとんどのお客様は、追加のアクションを行う必要はありません。

N2、C2、または M2 マシンタイプの Compute Engine VM で実行されている 1 つの Cloud Dataproc クラスタで、複数の信頼できないワークロードを実行している Cloud Dataproc のお客様で、ゲスト内攻撃の心配がある場合は、クラスタを再デプロイしてください。

CVE-2018-12207

お客様が追加のアクションを行う必要はありません。

Cloud SQL

追加のアクションを行う必要はありません。