Bollettini sulla sicurezza

I seguenti bollettini sulla sicurezza sono relativi ai prodotti Google Cloud.

Utilizza questo feed XML per iscriverti ai bollettini sulla sicurezza per questa pagina. Iscriviti

GCP-2024-060

Pubblicato: 17/10/2024

Descrizione Gravità Note

In base all'avviso sulla sicurezza VMware VMSA-2024-0020, diverse vulnerabilità in VMware NSX sono state segnalate in modo responsabile a VMware.

La versione NSX-T in esecuzione nel tuo ambiente VMware Engine non è interessata da CVE-2024-38815, CVE-2024-38818 o CVE-2024-38817.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

 Medio

GCP-2024-059

Pubblicato il: 16/10/2024

Descrizione Gravità Note

In base all'avviso di sicurezza VMware VMSA-2024-0021, una vulnerabilità SQL injection autenticata in VMware HCX è stata segnalata privatamente a VMware.

Abbiamo applicato la mitigazione approvata da VMware per risolvere questa vulnerabilità. Questa correzione risolve una vulnerabilità di sicurezza descritta in CVE-2024-38814. Al momento le versioni delle immagini in esecuzione nel cloud privato VMware Engine non riflettono alcuna modifica per indicare le modifiche applicate. Sono state installate misure di mitigazione appropriate e il tuo ambiente è protetto da questa vulnerabilità.

Che cosa devo fare?

Ti consigliamo di eseguire l'upgrade alla versione 4.9.2 di VMware HCX.

Alta

GCP-2024-058

Pubblicato: 16/10/2024

Descrizione

Descrizione Gravità Note

Migrate to Containers per Windows nelle versioni da 1.1.0 a 1.2.2 ha creato un m2cuser locale con privilegi di amministratore. Questo rappresentava un rischio per la sicurezza se i comandi analyze o generate venivano interrotti dall'utente o a causa di un errore interno che causava l'esclusione dell'azione e l'eliminazione dell'utente locale m2cuser.

Che cosa devo fare?

Le seguenti versioni dell'interfaccia a riga di comando Migrate to Containers per Windows sono state aggiornate con il codice per correggere questa vulnerabilità. Ti consigliamo di eseguire manualmente l'upgrade dell'interfaccia a riga di comando di Migrate to Containers alla versione seguente o successiva:

Quali vulnerabilità vengono affrontate?

La vulnerabilità CVE-2024-9858 consente a un utente malintenzionato di ottenere accesso amministrativo alle macchine Windows interessate utilizzando l'utente amministrativo locale creato dal software Migrate to Containers.

 Medio CVE-2024-9858

GCP-2024-057

Pubblicato il: 03/10/2024

Ultimo aggiornamento: 15/10/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 15/10/2024: sono state aggiunte versioni patch per GDC (VMware). Livelli di gravità aggiornati per GKE e GDC (VMware).

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-45016

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Medio CVE-2024-45016

GCP-2024-056

Pubblicato il: 27/09/2024

Descrizione

Descrizione Gravità Note

Nel sistema di stampa CUPS utilizzato da alcune distribuzioni Linux è stata scoperta una catena di vulnerabilità (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177) che potrebbe comportare l'esecuzione di codice da remoto. Un malintenzionato può sfruttare questa vulnerabilità se i servizi CUPS sono in ascolto sulla porta UDP 631 e possono connettersi.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Nessuno

GCP-2024-055

Pubblicato il: 24/09/2024

Descrizione

Descrizione Gravità Note

Una vulnerabilità di contrabbando delle richieste HTTP in Looker ha consentito a un utente malintenzionato non autorizzato di acquisire le risposte HTTP destinate a utenti legittimi.

Esistono due versioni di Looker ospitate da Looker:

  • È stato rilevato che Looker (Google Cloud core) è vulnerabile. Questo problema è già stato mitigato e le nostre indagini non hanno evidenziato alcuno sfruttamento.
  • Looker (originale) non era vulnerabile a questo problema.

È stato rilevato che le istanze di Looker ospitate dal cliente sono vulnerabili e devono essere sottoposte ad upgrade a una delle versioni riportate di seguito.

Questa vulnerabilità è stata corretta in tutte le versioni supportate di Looker ospitato dal cliente, disponibili nella pagina di download di Looker.

Che cosa devo fare?

  • Per tutte le istanze ospitate da Looker, incluse le istanze di Looker (Google Cloud core), non devi fare nulla.
  • Per le istanze di Looker ospitate dal cliente, esegui l'aggiornamento alla versione più recente di Looker supportata il prima possibile. Le versioni riportate di seguito sono state tutte aggiornate per proteggerti da questa vulnerabilità. Puoi scaricare queste versioni dalla pagina di download di Looker:
    • 23,12 -> 23,12,123+
    • 23,18 -> 23,18.117 e oltre
    • 24.0 -> 24.0.92 e versioni successive
    • 24,6 -> 24,6.77+
    • 24.8 -> 24.8.66+
    • 24,10 -> 24,10,78 o più
    • 24,12 -> 24/12/56 o più
    • 24.14 -> 24.14.37 e versioni successive

Quali vulnerabilità vengono affrontate?

La vulnerabilità CVE-2024-8912 consente a un malintenzionato di inviare a Looker intestazioni di richieste HTTP create appositamente, con possibile intercettazione delle risposte HTTP destinate ad altri utenti.

Queste risposte potrebbero contenere informazioni sensibili.

Questa vulnerabilità è sfruttabile solo con determinate configurazioni specifiche.

Medio CVE-2024-8912

GCP-2024-054

Pubblicato: 23/09/2024

Descrizione

Descrizione Gravità Note

È stato rilevato un problema di sicurezza nei cluster Kubernetes con nodi Windows in cui BUILTIN\Users potrebbe essere in grado di leggere i log dei contenitori e gli utenti NT AUTHORITY\Authenticated potrebbero essere in grado di modificare i log dei contenitori.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Medio CVE-2024-5321

GCP-2024-053

Pubblicato il: 19/09/2024

Descrizione

Descrizione Gravità Note

Durante l'analisi di campi sconosciuti nelle librerie Protobuf Java Full e Lite, un messaggio creato con intenti dannosi può causare un errore StackOverflow e portare all'arresto anomalo del programma.

Che cosa devo fare?

Stiamo lavorando diligentemente per risolvere questo problema e abbiamo reso disponibile una mitigazione ora disponibile. Ti consigliamo di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • protobuf-java (3.25.5, 4.27.5, 4.28.2)
  • protobuf-javalite (3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin (3.25.5, 4.27.5, 4.28.2)
  • protobuf-kotlin-lite (3.25.5, 4.27.5, 4.28.2)
  • com-protobuf [solo gem JRuby] (3.25.5, 4.27.5, 4.28.2)

Quali vulnerabilità vengono affrontate da questa patch?

Questa vulnerabilità è un potenziale Denial of Service.

L'analisi dei gruppi nidificati come campi sconosciuti con l'analizzatore sintattico UnknownFieldsParser o Java Protobuf Lite oppure di campi mappa Protobuf crea ricorsi illimitati che possono essere utilizzati in modo illecito da un utente malintenzionato.

punteggio CVSS4.0 8,7

Alta

 CVE-2024-7254

GCP-2024-052

Descrizione

Descrizione Gravità Note

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

  • CVE-2024-45807: arresto anomalo di oghttp2 in OnBeginHeadersForStream
  • CVE-2024-45808: attacco di inserimento di log dannosi tramite i log di accesso
  • CVE-2024-45806: possibilità di manipolare le intestazioni "x-envoy" da origini esterne
  • CVE-2024-45809: arresto anomalo del filtro JWT nella cache della route chiara con JWK remoti
  • CVE-2024-45810: Envoy si arresta in modo anomalo per LocalReply nel client asincrono HTTP

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Da medio ad alto

GCP-2024-051

Pubblicato il: 18/09/2024

Descrizione Gravità Note

VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0019 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di VMware Engine

  • Google ha già disabilitato qualsiasi potenziale exploit di questa vulnerabilità. Ad esempio, Google ha bloccato le porte attraverso le quali questa vulnerabilità potrebbe essere sfruttata.
  • Inoltre, Google garantisce che tutti i futuri implementazioni di vCenter non siano esposte a questa vulnerabilità.

Che cosa devo fare?

Al momento non sono necessarie ulteriori azioni.

Critico

GCP-2024-050

Pubblicato il: 04/09/2024

Descrizione

Descrizione Gravità Note

In Windows è stata scoperta una nuova vulnerabilità di esecuzione di codice remoto (CVE-2024-38063). Un malintenzionato potrebbe sfruttare questa vulnerabilità da remoto inviando pacchetti IPv6 appositamente creati a un host.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Nessuno CVE-2024-38063

GCP-2024-049

Pubblicato il: 21/08/2024

Aggiornamento: 01/11/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 01/11/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE.

Aggiornamento del 21/10/2024: sono state aggiunte le versioni delle patch e aggiornata la gravità per GDC (VMware).

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-36978

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-36978

GCP-2024-048

Pubblicato il: 20/08/2024

Ultimo aggiornamento: 30/10/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 30/10/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE.

Aggiornamento 25/10/2024: sono state aggiunte le versioni patch e il livello di gravità per GDC (VMware) aggiornato è stato aggiornato.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-41009

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-41009

GCP-2024-047

Pubblicato: 19-08-2024

Aggiornamento: 30/10/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 30/10/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE.

Aggiornamento del 21/10/2024: sono state aggiunte le versioni delle patch e aggiornata la gravità per GDC (VMware).

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-39503

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-39503

GCP-2024-046

Pubblicato: 05/08/2024

Descrizione

Descrizione Gravità Note

AMD ha informato Google di tre nuove vulnerabilità del firmware (2 a rischio medio e 1 a rischio elevato) che interessano SEV-SNP nelle CPU AMD EPYC di 3ª (Milan) e 4ª generazione (Genova).

Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate prove di sfruttamento a Google.

Che cosa devo fare?

Non è necessario alcun intervento da parte del cliente. I fix sono già stati applicati al parco di server di Google.

Per ulteriori informazioni, consulta l'avviso di sicurezza AMD AMD-SN-3011.

 Medio-alta

CVE-2023-31355

CVE-2024-21978

CVE-2024-21980

GCP-2024-045

Pubblicato il: 17/07/2024

Ultimo aggiornamento: 19/09/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 19/09/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware.

Aggiornamento del 21/08/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26925

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26925

GCP-2024-044

Pubblicato il: 16/07/2024

Aggiornamento: 30/10/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 30/10/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE.

Aggiornamento del 21/10/2024: sono state aggiunte le versioni delle patch e aggiornata la gravità per GDC (VMware).

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-36972

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-36972

GCP-2024-043

Pubblicato il: 16/07/2024

Aggiornamento: 02/10/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 02/10/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE.

Aggiornamento 20/09/2024: sono state aggiunte versioni patch per il software GDC per VMware.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26921

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26921

GCP-2024-042

Pubblicato: 15/07/2024

Aggiornamento: 18/07/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 18/07/2024: è stato chiarito che i cluster Autopilot nella configurazione predefinita non sono interessati.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26809

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26809

GCP-2024-041

Pubblicato il: 08/07/2024

Aggiornamento: 16-09-2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 16/09/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware.

Aggiornamento del 19/07/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2023-52654
  • CVE-2023-52656

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta

GCP-2024-040

Pubblicato il: 01/07/2024

Aggiornamento: 16/07/2024

Descrizione

Descrizione Gravità Note

Aggiornamenti del 16/07/2024:

Alcuni clienti con accesso VPC serverless sono potenzialmente interessati da una vulnerabilità in OpenSSH (CVE-2024-6387). In caso di exploit, questo potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire un codice arbitrario come root sulla macchina virtuale di destinazione. Si ritiene che l'utilizzo sia difficile. Ad esempio, i clienti non possono accedere alle VM e le VM non hanno IP pubblici. Non siamo a conoscenza di tentativi di sfruttamento.

Che cosa devo fare?

Ove possibile, i deployment di Accesso VPC serverless sono stati aggiornati automaticamente da Google. Tuttavia, devi verificare che l'agente di servizio gestito da Google abbia il ruolo richiesto. In caso contrario, il connettore di accesso VPC serverless potrebbe essere ancora vulnerabile. Ti consigliamo di eseguire la migrazione al traffico in uscita diretto VPC o di implementare un nuovo connettore ed eliminare quello precedente per assicurarti di disporre dell'aggiornamento necessario con la correzione.

Aggiornamento dell'11/07/2024: sono state aggiunte versioni patch per il software GDC per VMware, GKE su AWS e GKE su Azure. Per maggiori dettagli, consulta i seguenti bollettini nella documentazione di GKE:

Aggiornamento del 10/07/2024:

  • È stato aggiunto un bollettino sulla sicurezza per Migrate to Virtual Machines.

Aggiornamenti del 09/07/2024:

Alcuni clienti dell'ambiente flessibile di App Engine sono potenzialmente interessati da una vulnerabilità in OpenSSH (CVE-2024-6387). In caso di exploit, questo potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire un codice arbitrario come root sulla macchina virtuale di destinazione.

Che cosa devo fare?

Google ha già aggiornato automaticamente, ove possibile, i deployment in ambiente flessibile. Tuttavia, alcuni clienti che hanno disattivato l'agente di servizio gestito da Google o hanno apportato modifiche alle API Google Cloud o ad altre configurazioni predefinite, non hanno potuto essere aggiornati e potrebbero essere ancora vulnerabili. Dovresti eseguire il deployment di una nuova versione della tua app per ricevere l'aggiornamento con la correzione.

Tieni presente che i deployment aggiornati riporteranno la versione ssh OpenSSH_9.6p1. A questa versione è stata applicata una patch con una correzione per CVE-2024-6387.

Quali vulnerabilità vengono affrontate?

La vulnerabilità CVE-2024-6387, che consente a un utente malintenzionato remoto non autenticato di eseguire codice arbitrario come root sulla macchina di destinazione.

Aggiornamenti del 08/07/2024:

I cluster Dataproc su Google Compute Engine in esecuzione su immagine versione 2.2 (tutti i sistemi operativi) e 2.1 (solo Debian) sono interessati da una vulnerabilità in OpenSSH (CVE-2024-6387), che in caso di exploit potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire codice arbitrario come root sulla macchina di destinazione.

Non sono interessate le immagini Dataproc su Google Compute Engine versioni 2.0 e 1.5, nonché le immagini Dataproc versione 2.1 non in esecuzione su Debian. I cluster Dataproc con autenticazione personale abilitata non sono interessati. Anche Dataproc Serverless non è interessato.

Che cosa devo fare?

Aggiorna i cluster Dataproc su Google Compute Engine a una delle seguenti versioni:

  • 2.2.24 o versioni successive
  • 2.1.58 o versioni successive

Se non riesci ad aggiornare i tuoi cluster Dataproc a una delle versioni precedenti, ti consigliamo di utilizzare l'azione di inizializzazione disponibile in questa posizione: gs://dataproc-initialization-actions/hotfixes/openssh-CVE-2024-6387-mitigation.sh

Segui queste istruzioni su come specificare le azioni di inizializzazione per Dataproc. Tieni presente che l'azione di inizializzazione deve essere eseguita su ogni nodo (master e worker) per i cluster preesistenti.

Aggiornamenti del 03/07/2024:

  • Sono state aggiunte le versioni delle patch per GKE.
  • È stato aggiunto un bollettino sulla sicurezza per GDC collegato.

Aggiornamenti del 02/07/2024:

  • È stato chiarito che i cluster Autopilot sono interessati e che richiederanno l'azione dell'utente.
  • Sono state aggiunte valutazioni dell'impatto e passaggi di mitigazione per il software GDC per VMware, GKE su AWS e GKE su Azure.
  • È stato corretto il software GDC per il bollettino sulla sicurezza bare metal per chiarire che il software GDC per bare metal non è interessato direttamente e che i clienti devono verificare le patch con i fornitori dei sistemi operativi.

Di recente è stata scoperta in OpenSSH una vulnerabilità di esecuzione di codice da remoto, CVE-2024-6387. La vulnerabilità sfrutta una race condition che può essere utilizzata per ottenere l'accesso a una shell remota, consentendo agli aggressori di ottenere l'accesso root. Al momento della pubblicazione, lo sfruttamento è ritenuto difficile e richiede diverse ore per ogni macchina attaccata. Non siamo a conoscenza di tentativi di sfruttamento.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Critico CVE-2024-6387

GCP-2024-039

Pubblicato il: 28/06/2024

Aggiornamento: 25-09-2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 25-09-2024: sono state aggiunte le versioni delle patch per il software GDC per VMware.

Aggiornamento del 20/08/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26923

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26923

GCP-2024-038

Pubblicato il: 26/06/2024

Aggiornamento: 17-09-2024

Descrizione

Descrizione Gravità Note

Aggiornamento 17/09/2024: sono state aggiunte versioni patch per il software GDC per VMware.

Aggiornamento del 06/08/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26924

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26924

GCP-2024-037

Pubblicato il: 18/06/2024

Descrizione Gravità Note

VMware ha divulgato in VMSA-2024-0012 diverse vulnerabilità che hanno un impatto sui componenti vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di Google Cloud VMware Engine

  • La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Google ha già bloccato le porte vulnerabili sul server vCenter, impedendo così qualsiasi potenziale sfruttamento di questa vulnerabilità.
  • Inoltre, Google garantisce che tutti i futuri implementazioni di vCenter non siano esposte a questa vulnerabilità.

Che cosa devo fare?

Al momento non sono necessarie ulteriori azioni.

Critico

GCP-2024-036

Pubblicato il: 18/06/2024

Descrizione

Descrizione Gravità Note

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

  • CVE-2024-26584

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26584

GCP-2024-035

Pubblicato il: 12/06/2024

Aggiornamento: 18/07/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 18/07/2024: sono state aggiunte le versioni patch per i node pool Ubuntu su GKE e una versione patch per la versione 1.27 sui node pool Container-Optimized OS.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26584

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26584

GCP-2024-034

Pubblicato il: 11/06/2024

Aggiornamento: 10-07-2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 10/07/2024: sono state aggiunte le versioni delle patch per i nodi Container-Optimized OS che eseguono le versioni secondarie 1.26 e 1.27 e le versioni delle patch per i nodi Ubuntu.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS:

  • CVE-2024-26583

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26583

GCP-2024-033

Pubblicato: 10/06/2024

Aggiornamento: 26-09-2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 26/09/2024: sono state aggiunte le versioni delle patch per il software GDC per VMware.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Container-Optimized OS:

  • CVE-2022-23222

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2022-23222

GCP-2024-032

Pubblicato il: 04/06/2024

Descrizione

Descrizione Gravità Note

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

  • CVE-2024-23326: Envoy accetta erroneamente la risposta HTTP 200 per accedere alla modalità di upgrade.
  • CVE-2024-32974: arresto anomalo in EnvoyQuicServerStream::OnInitialHeadersComplete().
  • CVE-2024-32975: arresto anomalo in QuicheDataReader::PeekVarInt62Length().
  • CVE-2024-32976: ciclo infinito durante la decompressione dei dati Brotli con input aggiuntivo.
  • CVE-2024-34362: arresto anomalo (da usare dopo gratis) in EnvoyQuicServerStream.
  • CVE-2024-34363: arresto anomalo a causa di un'eccezione JSON di nlohmann non rilevata.
  • CVE-2024-34364: vettore OOM di Envoy dal client asincrono HTTP con buffer di risposta illimitato per la risposta mirror.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Alta

GCP-2024-031

Pubblicato il: 24/05/2024

Descrizione

Descrizione Gravità Note

In Fluent Bit è stata scoperta una nuova vulnerabilità (CVE-2024-4323) che potrebbe comportare l'esecuzione di codice da remoto. Sono interessate le versioni di Fluent Bit da 2.0.7 a 3.0.3.

GKE, GKE su VMware, GKE su AWS, GKE su Azure e GKE on Bare Metal non utilizzano una versione vulnerabile di Fluent Bit e non sono interessati.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Nessuno CVE-2024-4323

GCP-2024-030

Pubblicato il: 15/05/2024

Aggiornamento: 18/07/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 18/07/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2023-52620

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-52620

GCP-2024-029

Pubblicato: 14/05/2024

Ultimo aggiornamento: 19/08/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 19/08/2024: aggiunte versioni patch per i pool di nodi Ubuntu su GKE.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26642

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26642

GCP-2024-028

Pubblicato: 13/05/2024

Aggiornamento: 22/05/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 22/05/2024: sono state aggiunte le versioni con patch per Ubuntu

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26581

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26581

GCP-2024-027

Pubblicato il: 08/05/2024

Aggiornamento: 25-09-2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 25-09-2024: sono state aggiunte le versioni delle patch per il software GDC per VMware.

Aggiornamento del 15/05/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu GKE.

Aggiornamento 09/05/2024: è stata corretta la gravità da media ad alta ed è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26808

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26808

GCP-2024-026

Pubblicato il: 07/05/2024

Aggiornamento: 06/08/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 06/08/2024: sono state aggiunte le versioni patch per i pool di nodi Ubuntu su GKE.

Aggiornamento del 09/05/2024: la gravità è stata corretta da Media ad Alta.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26643

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26643

GCP-2024-025

Pubblicato: 26/04/2024

Descrizione

Descrizione Gravità Note

Looker ha corretto le vulnerabilità segnalate da un ricercatore esterno tramite il programma Vulnerability Reward Program (VRP) di Google e Alphabet, ma non sono state trovate prove di sfruttamento. Questi problemi sono stati risolti e non è richiesta alcuna azione da parte degli utenti per i clienti ospitati su Looker su Looker (Google Cloud core) e Looker (originale). Per le istanze di Looker auto-hosted è consigliabile eseguire l'aggiornamento alla versione più recente supportata.

Che cosa devo fare?

Istanze ospitate da Looker: istanze di Looker (Google Cloud core) e Looker (originale)

Non è necessario alcun intervento da parte del cliente.

Solo istanze di Looker ospitate autonomamente

Se la tua istanza Looker è self-hosted, ti consigliamo di eseguire l'upgrade delle istanze a una delle seguenti versioni:

  • 24.6.12+
  • 24.4.27+
  • 24.2.58+
  • 24.0.65+
  • 23.18.100+
  • 23.12.105+
  • 23.6.163+

Come è stato risolto il problema?

Google ha disattivato l'accesso amministrativo diretto al database interno dall'applicazione Looker, ha rimosso i privilegi elevati che consentivano l'accesso tra tenant e ha ruotato i secret esposti. Inoltre, abbiamo corretto delle vulnerabilità per il path traversal che potrebbero aver esposto le credenziali dell'account di servizio. Stiamo inoltre effettuando un’analisi approfondita del nostro codice e dei nostri sistemi per identificare e risolvere potenziali vulnerabilità simili.

 Critico

GCP-2024-024

Pubblicato: 25/04/2024

Ultimo aggiornamento: 18/07/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 18/07/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu su GKE

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-26585

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-26585

GCP-2024-023

Pubblicato il: 24/04/2024

Descrizione

Descrizione Gravità Note

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

  • CVE-2024-27919: HTTP/2: esaurimento della memoria a causa dell’inondazione del frame CONTINUATION.
  • CVE-2024-30255: HTTP/2: esaurimento della CPU a causa dell'inondazione CONTINUATION del frame
  • CVE-2024-32475: interruzione anomala quando si utilizza "auto_sni" con l'intestazione ":authority" più lunga di 255 caratteri.
  • CVE-2023-45288: i frame CONTINUATION HTTP/2 possono essere utilizzati per attacchi DoS.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Alta

GCP-2024-022

Pubblicato il: 03/04/2024

Aggiornamento: 17/07/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 17/07/2024: aggiunte versioni patch per GKE su VMware

Aggiornamento del 09/07/2024: sono state aggiunte le versioni delle patch per GKE on Bare Metal

Aggiornamento del 24/04/2024: sono state aggiunte le versioni con patch per GKE.

Di recente è stata scoperta una vulnerabilità di tipo denial of service (DoS) (CVE-2023-45288) in più implementazioni del protocollo HTTP/2, incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-45288

GCP-2024-021

Pubblicato il: 03/04/2024

Descrizione

Descrizione Gravità Note

Compute Engine non è interessato da CVE-2024-3094, che interessa le versioni 5.6.0 e 5.6.1 del pacchetto xz-utils nella libreria liblzma e potrebbe portare alla compromissione dell'utilità OpenSSH.

Per ulteriori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

 Medio CVE-2024-3094

GCP-2024-020

Pubblicato: 02/04/2024

Descrizione

Descrizione Gravità Note

I ricercatori hanno scoperto una vulnerabilità (CVE-2023-48022) in Ray. Ray è un strumento open source di terze parti per i carichi di lavoro di AI. Poiché Ray non richiede l'autenticazione, gli autori delle minacce possono eseguire codice da remoto inviando job a istanze esposte pubblicamente. La vulnerabilità è stata contestata da Anyscale, lo sviluppatore di Ray. Ray sostiene che le sue funzioni sono una funzionalità di prodotto principale intenzionale e che la sicurezza deve invece essere implementata al di fuori di un cluster Ray, poiché qualsiasi esposizione alla rete non intenzionale del cluster Ray potrebbe comportare un compromesso.

In base alla risposta, questa CVE è contestata e potrebbe non essere visualizzata negli scanner di vulnerabilità. Tuttavia, viene sfruttato attivamente in rete e gli utenti devono configurarne l'utilizzo come suggerito di seguito.

Che cosa devo fare?

Segui le linee guida e le best practice di Ray, inclusa l'esecuzione di codice attendibile su reti attendibili, per proteggere i tuoi carichi di lavoro Ray. Il deployment di ray.io nelle istanze cloud dei clienti rientra nel modello di responsabilità condivisa.

Il team di sicurezza di Google Kubernetes Engine (GKE) ha pubblicato un post del blog sull'hardening di Ray su GKE.

Per ulteriori informazioni su come aggiungere l'autenticazione e l'autorizzazione ai servizi Ray, consulta la documentazione di Identity-Aware Proxy (IAP). Gli utenti di GKE possono implementare IAP seguendo queste indicazioni o riutilizzando i moduli Terraform collegati nel blog.

Alta CVE-2023-48022

GCP-2024-018

Pubblicato il: 12/03/2024

Aggiornamento: 04/04/2024, 06/05/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 06/05/2024: sono state aggiunte le versioni delle patch per i pool di nodi Ubuntu GKE.

Aggiornamento del 04/04/2024: sono state corrette le versioni minime per i pool di nodi GKE Container-Optimized OS.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-1085

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-1085

GCP-2024-017

Pubblicato il: 06/03/2024

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2023-3611

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-3611

GCP-2024-016

Pubblicato il: 05/03/2024

Descrizione Gravità Note

VMware ha divulgato più vulnerabilità nel documento VMSA-2024-0006 che hanno un impatto sui componenti ESXi di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto di Google Cloud VMware Engine

I tuoi cloud privati sono stati aggiornati per risolvere la vulnerabilità di sicurezza.

Che cosa devo fare?

Non è necessario alcun intervento da parte tua.

Critico

GCP-2024-014

Pubblicato il: 26/02/2024

Descrizione

Descrizione Gravità Note

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2023-3776

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-3776

GCP-2024-013

Pubblicato il: 27/02/2024

Descrizione

Descrizione Gravità Note

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2023-3610

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-3610

GCP-2024-012

Pubblicato il: 20/02/2024

Descrizione

Descrizione Gravità Note

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2024-0193

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-0193

GCP-2024-011

Pubblicato: 15/02/2024

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS:

  • CVE-2023-6932

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-6932

GCP-2024-010

Pubblicato: 14/02/2024

Aggiornamento: 17/04/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 17/04/2024: sono state aggiunte le versioni delle patch per GKE su VMware.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6931

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-6931

GCP-2024-009

Pubblicato il: 13/02/2024

Descrizione

Descrizione Gravità Note

Il 13 febbraio 2024 AMD ha divulgato due vulnerabilità che interessano SEV-SNP sulle CPU EPYC basate su core Zen "Milan" di terza generazione e "Genova" di quarta generazione. Le vulnerabilità consentono a utenti malintenzionati con privilegi di accedere a dati inattivi dagli ospiti o causano la perdita dell'integrità dell'ospite.

Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state trovate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente. Le correzioni sono già state applicate al parco di server Google per Google Cloud, incluso Compute Engine.

Per ulteriori informazioni, consulta l'avviso di sicurezza AMD AMD-SN-3007.

 Moderata

GCP-2024-008

Pubblicato il: 12/02/2024

Descrizione

Descrizione Gravità Note

CVE-2023-5528 consente a un malintenzionato di creare pod e volumi permanenti sui nodi Windows in modo da consentire l'escalation dei privilegi amministrativi su questi nodi.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-5528

GCP-2024-007

Pubblicato il: 08/02/2024

Descrizione

Descrizione Gravità Note

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

  • CVE-2024-23322: Envoy si arresta in modo anomalo quando inattivo e il timeout delle richieste per tentativo si verifica entro l'intervallo di backoff.
  • CVE-2024-23323: utilizzo eccessivo della CPU quando il corrispettivo del modello URI è configurato utilizzando una regex.
  • CVE-2024-23324: l'autorizzazione esterna può essere aggirata quando il filtro del protocollo proxy imposta metadati UTF-8 non validi.
  • Envoy si arresta in modo anomalo quando viene utilizzato un tipo di indirizzo non supportato dal sistema operativo.
  • CVE-2024-23327: arresto anomalo nel protocollo proxy quando il tipo di comando è LOCAL.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Alta

GCP-2024-006

Pubblicato il: 5/02/2024

Descrizione

Descrizione Gravità Note

Quando un proxy di gestione delle API Apigee si connette a un endpoint di destinazione o a un server di destinazione, il proxy non esegue la convalida del nome host per il certificato presentato dall'endpoint o dal server di destinazione per impostazione predefinita. Se la convalida del nome host non è attivata utilizzando una delle seguenti opzioni, i proxy Apigee che si connettono a un endpoint o a un server di destinazione potrebbero essere a rischio di un attacco man-in-the-middle da parte di un utente autorizzato. Per ulteriori informazioni, consulta Configurare TLS dall'Edge al backend (Cloud e Private Cloud).

Sono interessati i deployment dei proxy Apigee sulle seguenti piattaforme Apigee:

  • Apigee Edge for Public Cloud
  • Apigee Edge for Private Cloud

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Apigee.

 Alta

GCP-2024-005

Pubblicato il: 31/01/2024
Aggiornamento: 02/04/2024, 06/05/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 06/05/2024: sono state aggiunte le versioni delle patch per GKE su AWS e GKE su Azure.

Aggiornamento del 02/04/2024: sono state aggiunte le versioni delle patch per GKE on Bare Metal

Aggiornamento 06/03/2024: aggiunte versioni patch per GKE su VMware

Aggiornamento del 28/02/2024: sono state aggiunte le versioni con patch per Ubuntu

Aggiornamento del 15/02/2024: è stato chiarito che le versioni delle patch Ubuntu 1.25 e 1.26 nell'aggiornamento del 14/02/2024 potrebbero causare nodi non validi.

Aggiornamento 14/02/2024: aggiunte versioni patch per Ubuntu

Aggiornamento 06/02/2024 : sono state aggiunte versioni patch per Container-Optimized OS.

In runc è stata scoperta una vulnerabilità di sicurezza (CVE-2024-21626) in cui un utente con l'autorizzazione per creare pod su Container-Optimized OS e nodi Ubuntu potrebbe riuscire ad accedere completamente al file system del nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2024-21626

GCP-2024-004

Pubblicato il: 24/01/2024
Aggiornamento: 07/02/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 07/02/2024: sono state aggiunte le versioni con patch per Ubuntu.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-6817

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-6817

GCP-2024-003

Pubblicato il: 19/01/2024
Aggiornamento: 26/01/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 26/01/2024: è stato chiarito il numero di cluster interessati e le azioni intraprese per contribuire ad attenuare l'impatto. Per maggiori dettagli, consulta il bollettino sulla sicurezza di GCP-2024-003.

Abbiamo identificato diversi cluster in cui gli utenti hanno concesso i privilegi Kubernetes al gruppo system:authenticated, che include tutti gli utenti con un Account Google. Questi tipi di associazioni non sono consigliati perché violano il principio del privilegio minimo e concedono l'accesso a gruppi di utenti molto ampi. Consulta le indicazioni riportate nella sezione "Cosa devo fare" per istruzioni su come trovare questi tipi di associazioni.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Medio

GCP-2024-002

Pubblicato: 17/01/2024

Aggiornamento: 20/02/2024

Descrizione

Descrizione Gravità Note

Aggiornamento 20/02/2024: sono state aggiunte versioni patch per GKE su VMware.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi di Container-Optimized OS.

  • CVE-2023-6111

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-6111

GCP-2024-001

Pubblicato: 09/01/2024

Descrizione

Descrizione Gravità Note

Sono state scoperte diverse vulnerabilità nel firmware UEFI EDK II di TianoCore. Questo firmware viene utilizzato nelle VM di Google Compute Engine. Se sfruttate, le vulnerabilità potrebbero consentire il bypass dell'avvio protetto, che fornirebbe misurazioni false nel processo di avvio protetto, anche se utilizzato nelle VM schermate.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. Google ha applicato la patch a questa vulnerabilità su Compute Engine e tutte le VM sono protette da questa vulnerabilità.

Quali vulnerabilità vengono affrontate da questa patch?

La patch ha attenuato le seguenti vulnerabilità:

  • CVE-2022-36763
  • CVE-2022-36764
  • CVE-2022-36765
 Medio

GCP-2023-051

Pubblicato: 28/12/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3609

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-3609

GCP-2023-050

Pubblicato il: 27/12/2023

Descrizione

Descrizione Gravità Note

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3389

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-3389

GCP-2023-049

Pubblicato il: 20/12/2023

Descrizione

Descrizione Gravità Note

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3090

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-3090

GCP-2023-048

Pubblicato il: 15/12/2023

Aggiornamento: 21-12-2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3390

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-3390

GCP-2023-047

Pubblicato il: 14/12/2023

Descrizione

Descrizione Gravità Note

Un utente malintenzionato che ha compromesso il container di logging di Fluent Bit potrebbe combinare questo accesso con gli alti privilegi richiesti da Cloud Service Mesh (sui cluster in cui è abilitato) per aumentare i privilegi nel cluster.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Medio

GCP-2023-046

Pubblicato il: 22/11/2023
Aggiornamento: 04/03/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 04/03/2024: sono state aggiunte le versioni GKE per GKE su VMware.

Aggiornamento del 22/01/2024: sono state aggiunte le versioni con patch di Ubuntu

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5717

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-5717

GCP-2023-045

Pubblicato: 20/11/2023

Aggiornamento: 21-12-2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-5197

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-5197

GCP-2023-044

Pubblicato il: 15/11/2023

Descrizione

Descrizione Gravità Note

Il 14 novembre AMD ha divulgato più vulnerabilità che interessano varie CPU AMD per server. Nello specifico, le vulnerabilità interessano le CPU EPYC Server che sfruttano i core Zen di 2ª gen. "Rome", 3ª gen. "Milan" e 4ª gen. "Genova".

Google ha applicato correzioni agli asset interessati, tra cui Google Cloud, per garantire la protezione dei clienti. Al momento, non sono state rilevate o segnalate a Google prove di sfruttamento.

Che cosa devo fare?

Non è necessario alcun intervento da parte del cliente.

Le correzioni sono già state applicate al parco di server Google per Google Cloud, incluso Google Compute Engine.

Quali vulnerabilità vengono affrontate?

La patch ha mitigato le seguenti vulnerabilità:

  • CVE-2022-23820
  • CVE-2021-46774
  • CVE-2023-20533
  • CVE-2023-20519
  • CVE-2023-20592
  • CVE-2023-20566
  • CVE-2023-20521
  • CVE-2021-46766
  • CVE-2022-23830
  • CVE-2023-20526
  • CVE-2021-26345

Per ulteriori informazioni, consulta l'avviso sulla sicurezza di AMD AMD-SN-3005: "AMD INVD Instruction Security Notice", pubblicato anche come CacheWarp, e AMD-SN-3002: "AMD Server Vulnerabilities – November 2023".

 Moderata

GCP-2023-043

Pubblicato il: 14/11/2023

Descrizione

Descrizione Gravità Note

Intel ha divulgato una vulnerabilità della CPU in alcuni processori. Google ha adottato misure per mitigare il proprio parco di server, tra cui Google Compute Engine per Google Cloud, e i dispositivi ChromeOS per garantire la protezione dei clienti.

I dettagli della vulnerabilità:

  • CVE-2023-23583

Che cosa devo fare?

Non è necessario alcun intervento da parte del cliente.

Il rimedio fornito da Intel per i processori interessati è stato applicato al parco di server di Google, incluso Google Compute Engine per Google Cloud.

Al momento, Google Distributed Cloud Edge richiede un aggiornamento dall'OEM. Google correggerà questo prodotto una volta reso disponibile l'aggiornamento e questo bollettino verrà aggiornato di conseguenza.

I dispositivi ChromeOS con i processori interessati hanno ricevuto la correzione automaticamente nell'ambito delle release 119, 118 e 114 (LTS).

Quali vulnerabilità vengono affrontate?

CVE-2023-23583. Per maggiori dettagli, vedi Intel Security Advisory INTEL-SA-00950.

 Alta CVE-2023-23583

GCP-2023-042

Pubblicato il: 13/11/2023
Ultimo aggiornamento: 15/11/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 15/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4147

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-4147

GCP-2023-041

Pubblicato il: 08/11/2023

Aggiornamento: 21/11/2023, 05/12/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 05/12/2023: sono state aggiunte altre versioni di GKE per i node pool Container-Optimized OS.

Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel Linux sono state rilevate le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4004

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-4004

GCP-2023-040

Pubblicato: 06/11/2023

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4921

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-4921

GCP-2023-039

Pubblicato il: 06/11/2023

Aggiornamento: 21/11/2023, 16/11/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Aggiornamento 16-11-2023: la vulnerabilità associata a questo bollettino sulla sicurezza è CVE-2023-4622. CVE-2023-4623 è stata elencata erroneamente come vulnerabilità in una versione precedente del bollettino sulla sicurezza.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-4622

GCP-2023-038

Pubblicato: 06/11/2023

Ultimo aggiornamento: 21/11/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4623

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-4623

GCP-2023-037

Pubblicato il: 06/11/2023

Aggiornamento: 21/11/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4015

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-4015

GCP-2023-036

Pubblicato: 30/10/2023

Descrizione

Descrizione Gravità Note

Deep Learning VM Images è un insieme di immagini di macchine virtuali predefinite con un framework di deep learning, pronte per essere eseguite da subito. Di recente è stata scoperta una vulnerabilità di scrittura fuori limite nella funzione "ReadHuffmanCodes()" della libreria "libwebp". Ciò potrebbe influire sulle immagini che utilizzano questa libreria.

Google Cloud analizza continuamente le immagini pubblicate pubblicamente e aggiorna i pacchetti per garantire che le distribuzioni con patch siano incluse nelle ultime release disponibili per l'adozione da parte dei clienti. Le Deep Learning VM Image sono state aggiornate per garantire che le più recenti immagini VM includano le distribuzioni con patch. I clienti che adottano le immagini VM più recenti non sono esposti a questa vulnerabilità.

Che cosa devo fare?

I clienti Google Cloud che utilizzano immagini VM pubblicate devono assicurarsi di adottare le immagini più recenti e che i loro ambienti siano aggiornati in base al modello di responsabilità condivisa.

CVE-2023-4863 potrebbe essere sfruttata da un malintenzionato per eseguire codice arbitrario. Questa vulnerabilità è stata identificata in Google Chrome precedenti alla versione 116.0.5845.187 e in "libwebp" precedenti alla versione 1.3.2 ed è elencata come CVE-2023-4863.

 Alta CVE-2023-4863

GCP-2023-035

Pubblicato il: 26/10/2023

Aggiornamento: 21/11/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-4206
  • CVE-2023-4207
  • CVE-2023-4208
  • CVE-2023-4128

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128

GCP-2023-034

Pubblicato il: 25/10/2023

Aggiornamento: 27/10/2023

Descrizione

Descrizione Gravità Note

VMware ha divulgato più vulnerabilità nel VMSA-2023-0023 che interessano i componenti di vCenter di cui è stato eseguito il deployment negli ambienti dei clienti.

Impatto dell'assistenza clienti Google Cloud

  • La vulnerabilità può essere sfruttata accedendo a porte specifiche in vCenter Server. Queste porte non sono esposte alla rete internet pubblica.
  • Se le porte vCenter 2012/TCP, 2014/TCP e 2020/TCP non sono accessibili da sistemi non attendibili, non sei esposto a questa vulnerabilità.
  • Google ha già bloccato le porte vulnerabili sul server vCenter, impedendo qualsiasi potenziale sfruttamento di questa vulnerabilità.
  • Inoltre, Google garantirà che tutti i deployment futuri del server vCenter non siano esposti a questa vulnerabilità.
  • Al momento della pubblicazione del bollettino, VMware non è a conoscenza di alcun exploit "in the wild". Per ulteriori dettagli, consulta la documentazione di VMware.

Che cosa devo fare?

Al momento non sono richieste ulteriori azioni

 Critico CVE-2023-34048,CVE-2023-34056

GCP-2023-033

Pubblicato il: 24/10/2023

Aggiornamento: 21/11/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 21/12/2023: chiarisci che i cluster GKE Autopilot nella configurazione predefinita non sono interessati e non sono interessati i carichi di lavoro di GKE Sandbox.

Aggiornamento del 21/11/2023: è stato chiarito che solo le versioni secondarie elencate devono eseguire l'upgrade a una versione con patch corrispondente per GKE.

Nel kernel di Linux sono state scoperte le seguenti vulnerabilità che possono portare a un'escalation dei privilegi sui nodi Ubuntu e Container-Optimized OS.

  • CVE-2023-3777

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-3777

GCP-2023-032

Pubblicato: 13/10/2023

Ultimo aggiornamento: 03/11/2023

Descrizione

Descrizione Gravità Note

Aggiornamento 03/11/2023: è stato aggiunto problema noto per Apigee Edge per il Private Cloud.

Di recente è stata scoperta una vulnerabilità DoS (Denial of Service) in diverse implementazioni del protocollo HTTP/2 (CVE-2023-44487), tra cui il servizio Apigee Ingress (Cloud Service Mesh) utilizzato da Apigee X e Apigee Hybrid. La vulnerabilità potrebbe causare un DoS della funzionalità di gestione delle API Apigee.

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Apigee.

Alta CVE-2023-44487

GCP-2023-031

Pubblicato il: 10/10/2023

Descrizione

Descrizione Gravità Note

Un attacco di denial of service può influire sul piano dati quando si utilizza il protocollo HTTP/2. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Alta CVE-2023-44487

GCP-2023-030

Pubblicato il: 10/10/2023

Aggiornamento: 20/03/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 20/03/2024: sono state aggiunte le versioni delle patch per GKE su AWS e GKE su Azure con le patch più recenti per CVE-2023-44487.

Aggiornamento del 14/02/2024: sono state aggiunte le versioni delle patch per GKE su VMware.

Aggiornamento del 09/11/2023: è stata aggiunta CVE-2023-39325. Versioni GKE aggiornate con le patch più recenti per CVE-2023-44487 e CVE-2023-39325.

Di recente è stata scoperta una vulnerabilità di tipo Denial of Service (DoS) in più implementazioni del protocollo HTTP/2 (CVE-2023-44487), incluso il server HTTP golang utilizzato da Kubernetes. La vulnerabilità potrebbe causare un attacco DoS del piano di controllo di Google Kubernetes Engine (GKE). I cluster GKE con reti autorizzate configurate sono protetti limitando l'accesso alla rete, ma tutti gli altri cluster sono interessati.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-44487, CVE-2023-39325

GCP-2023-029

Pubblicato il: 03/10/2023

Descrizione

Descrizione Gravità Note

TorchServe viene utilizzato per ospitare modelli di machine learning PyTorch per la previsione online. Vertex AI fornisce container di pubblicazione di modelli PyTorch predefiniti che dipendono da TorchServe. Di recente sono state scoperte vulnerabilità in TorchServe che potrebbero consentire a un malintenzionato di prendere il controllo di un deployment di TorchServe se la relativa API di gestione dei modelli è esposta. I clienti con modelli PyTorch di cui è stato eseguito il deployment per le previsioni online di Vertex AI non sono interessati da queste vulnerabilità, poiché Vertex AI non espone l'API di gestione dei modelli di TorchServe. I clienti che utilizzano TorchServe al di fuori di Vertex AI devono adottare precauzioni per assicurarsi che i loro implementazioni siano configurate in modo sicuro.

Che cosa devo fare?

I clienti di Vertex AI con modelli di cui è stato eseguito il deployment utilizzando i container di servizio PyTorch predefiniti di Vertex AI non devono intraprendere alcuna azione per risolvere le vulnerabilità, poiché i deployment di Vertex AI non espongono il server di gestione di TorchServe a internet.

I clienti che utilizzano i container PyTorch predefiniti in altri contesti o che utilizzano una distribuzione di TorchServe personalizzata o di terze parti devono eseguire le seguenti operazioni:

  • Assicurati che l'API di gestione dei modelli di TorchServe non sia esposta a internet. L'API di gestione dei modelli può essere limitata all'accesso locale solo assicurandosi che management_address sia associato a 127.0.0.1.
  • Utilizza l'impostazione allowed_urls per assicurarti che i modelli possano essere caricati solo dalle origini previste.
  • Esegui l'upgrade a TorchServe alla versione 0.8.2, che include le mitigazioni per questo problema, il prima possibile. Per precauzione, Vertex AI rilascerà container predefiniti corretti entro il 13/10/2023.

Quali vulnerabilità vengono affrontate?

L'API di gestione di TorchServe è associata a 0.0.0.0 per impostazione predefinita nella maggior parte delle immagini Docker di TorchServe, incluse quelle rilasciate da Vertex AI, rendendola accessibile alle richieste esterne. L'indirizzo IP predefinito per l'API di gestione viene modificato in 127.0.0.1 in TorchServe 0.8.2, attenuando il problema.

CVE-2023-43654 e CVE-2022-1471 consentono a un utente con accesso all'API di gestione di caricare modelli da origini arbitrarie ed eseguire codice da remoto. Le mitigazioni per entrambi i problemi sono incluse in TorchServe 0.8.2: il percorso di esecuzione del codice remoto viene rimosso e viene emesso un avviso se viene utilizzato il valore predefinito per allowed_urls.

 Alta CVE-2023-43654, CVE-2022-1471

GCP-2023-028

Pubblicato: 19/09/2023

Aggiornamento: 29-05-2024

Descrizione

Descrizione Gravità Note
Aggiornamento del 29 maggio 2024: i nuovi feed non utilizzano più l'account di servizio condiviso, che rimane attivo per i feed esistenti per evitare interruzioni del servizio. Le modifiche all'origine nei feed precedenti sono bloccate per impedire l'uso improprio dell'account di servizio condiviso. I clienti possono continuare a utilizzare normalmente i propri vecchi feed, a condizione che non cambino l'origine.

I clienti possono configurare Google Security Operations per importare i dati dai bucket Cloud Storage di proprietà del cliente utilizzando un feed di importazione. Fino a poco tempo fa, Google Security Operations forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione al bucket. Esisteva un'opportunità per cui l'istanza Google Security Operations di un cliente poteva essere configurata per importare i dati dal bucket Cloud Storage di un altro cliente. Dopo aver eseguito un'analisi dell'impatto, non abbiamo rilevato sfruttamenti attuali o precedenti di questa vulnerabilità. La vulnerabilità era presente in tutte le versioni di Google Security Operations prima del 19 settembre 2023.

Che cosa devo fare?

Il 19 settembre 2023, Google Security Operations è stato aggiornato per risolvere questa vulnerabilità. Non è necessario alcun intervento da parte del cliente.

Quali vulnerabilità vengono affrontate?

In precedenza, Google Security Operations forniva un account di servizio condiviso che i clienti utilizzavano per concedere l'autorizzazione a un bucket. Poiché clienti diversi assegnavano la stessa autorizzazione per l'account di servizio Google Security Operations al proprio bucket, esisteva un vettore di sfruttamento che consentiva al feed di un cliente di accedere al bucket di un cliente diverso quando un feed veniva creato o modificato. Questo vettore di sfruttamento richiedeva la conoscenza dell'URI del bucket. Ora, durante la creazione o la modifica dei feed, Google Security Operations utilizza account di servizio univoci per ogni cliente.

 Alta

GCP-2023-027

Pubblicato il: 11/09/2023
Descrizione Gravità Note

Gli aggiornamenti di VMware vCenter Server risolvono più vulnerabilità di corruzione della memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impatto sull'assistenza clienti

VMware vCenter Server (vCenter Server) e VMware Cloud Foundation (Cloud Foundation).

Che cosa devo fare?

I clienti non sono interessati e non è richiesta alcuna azione.

 Medio

GCP-2023-026

Pubblicato il: 06/09/2023

Descrizione

Descrizione Gravità Note

In Kubernetes sono state scoperte tre vulnerabilità (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) in cui un utente che può creare pod sui nodi Windows potrebbe essere in grado di eseguire l’escalation ai privilegi amministrativi su quei nodi. Queste vulnerabilità interessano le versioni Windows di Kubelet e del proxy CSI di Kubernetes.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-3676, CVE-2023-3955, CVE-2023-3893

GCP-2023-025

Pubblicato il: 08/08/2023
Descrizione Gravità Note

Intel ha recentemente annunciato l'Intel Security Advisory INTEL-SA-00828 che interessa alcune delle proprie famiglie di processori. Ti invitiamo a valutare i rischi in base all'avviso.

Impatto di Google Cloud VMware Engine

La nostra flotta utilizza le famiglie di processori interessate. Nel nostro deployment, l'intero server è dedicato a un cliente. Di conseguenza, il nostro modello di deployment non aggiunge alcun rischio aggiuntivo alla valutazione di questa vulnerabilità.

Stiamo collaborando con i nostri partner per ottenere le patch necessarie e le implementeremo con priorità nell'intero parco utilizzando la procedura di upgrade standard nelle prossime settimane.

Che cosa devo fare?

Non è richiesta alcuna azione da parte tua. Stiamo lavorando all'upgrade di tutti i sistemi interessati.

 Alta

GCP-2023-024

Pubblicato il: 08/08/2023

Aggiornamento: 10/08/2023, 04/06/2024

Descrizione

Descrizione Gravità Note

Aggiornamento del 04/06/2024: i seguenti prodotti mancanti sono stati aggiornati per correggere questa vulnerabilità:

  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge

Aggiornamento del 10/08/2023: è stato aggiunto il numero di versione LTS di ChromeOS.

Intel ha divulgato una vulnerabilità in alcuni processori (CVE-2022-40982). Google ha adottato misure per mitigare il proprio parco di server, incluso Google Cloud, per garantire la protezione dei clienti.

I dettagli della vulnerabilità:

  • CVE-2022-40982 (Intel IPU 2023.3, "GDS", noto anche come "Downfall")

Che cosa devo fare?

Non è richiesta alcuna azione da parte del cliente.

Tutte le patch disponibili sono già state applicate al parco di server Google per Google Cloud, incluso Google Compute Engine.

Al momento, i seguenti prodotti richiedono aggiornamenti aggiuntivi da parte di partner e fornitori.

  • Google Cloud VMware Engine
  • Google Distributed Cloud Hosted
  • Google Distributed Cloud Edge
  • Soluzione Google Cloud Bare Metal
  • Evolved Packet Core

Google correggerà questi prodotti una volta rese disponibili queste patch e questo bollettino verrà aggiornato di conseguenza.

I clienti di Google Chromebook e ChromeOS Flex hanno ricevuto automaticamente le mitigazioni fornite da Intel nelle versioni stabile (115), LTS (108), beta (116) e LTC (114). I clienti di Chromebook e ChromeOS Flex che hanno bloccato una release precedente dovrebbero prendere in considerazione la possibilità di sbloccarla e passare alle release stabili o LTS per assicurarsi di ricevere questa e altre correzioni di vulnerabilità.

Quali vulnerabilità vengono affrontate?

CVE-2022-40982: per ulteriori informazioni, consulta Intel Security Advisory INTEL-SA-00828.

Alta CVE-2022-40982

GCP-2023-023

Pubblicato il: 08/08/2023

Descrizione

Descrizione Gravità Note

AMD ha divulgato una vulnerabilità in alcuni processori (CVE-2023-20569). Google ha adottato misure per mitigare il proprio parco di server, incluso Google Cloud, per garantire la protezione dei clienti.

I dettagli della vulnerabilità:

  • CVE-2023-20569 (AMD SB-7005, noto anche come "Inception")

Che cosa devo fare?

Gli utenti delle VM Compute Engine devono prendere in considerazione le mitigazioni fornite dal sistema operativo se utilizzano l'esecuzione di codice non attendibile all'interno dell'istanza. Consigliamo ai clienti di contattare i propri fornitori di sistemi operativi per indicazioni più specifiche.

Le correzioni sono già state applicate al parco di server Google per Google Cloud, incluso Google Compute Engine.

Quali vulnerabilità vengono affrontate?

CVE-2023-20569: per ulteriori informazioni, consulta AMD SB-7005.

Moderata CVE-2023-20569

GCP-2023-022

Pubblicato il: 03/08/2023

Descrizione

Descrizione Gravità Note

Google ha identificato una vulnerabilità nelle implementazioni C++ di gRPC precedenti alla release 1.57. Si trattava di una vulnerabilità Denial of Service nell'implementazione C++ di gRPC. Questi problemi sono stati risolti nelle release 1.53.2, 1.54.3, 1.55.2, 1.56.2 e 1.57.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • Le versioni 1.53, 1.54, 1.55 e 1.56 di gRPC (C++, Python, Ruby) devono eseguire l'upgrade alle seguenti release di patch:
    • 1.53.2
    • 1.54.3
    • 1.55.2
    • 1.56.2
  • Le versioni 1.52 e precedenti di gRPC (C++, Python, Ruby) devono eseguire l'upgrade a una delle release delle patch approvate. Ad esempio, 1.53.2, 1.54.3, 1.53.4 e così via.

Quali vulnerabilità vengono affrontate?

Queste patch attenuano le seguenti vulnerabilità:

  • Vulnerabilità denial of service nelle implementazioni C++ di gRPC: le richieste appositamente realizzate possono causare l'interruzione della connessione tra un proxy e un backend.
Alta CVE-2023-33953

GCP-2023-021

Updated:2023-07-26

Published:2023-07-25

Descrizione

Descrizione Gravità Note

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

  • CVE-2023-35941: un client dannoso è in grado di creare credenziali con validità permanente in alcuni scenari specifici. Ad esempio, la combinazione di host e data e ora di scadenza nel payload HMAC può essere sempre valida nel controllo HMAC del filtro OAuth2.
  • CVE-2023-35942: i logger di accesso gRPC che utilizzano l'ambito globale del listener possono causare un arresto anomalo di tipo use-after-free quando il listener viene svuotato. Questo può essere attivato da un aggiornamento LDS con la stessa configurazione del log di accesso gRPC.
  • CVE-2023-35943: se l'intestazione origin è configurata per essere rimossa con request_headers_to_remove: origin, il filtro CORS segfault e arresta in modo anomalo Envoy.
  • CVE-2023-35944: gli attaccanti possono inviare richieste di schema misti per aggirare i controlli dello schema in Envoy. Ad esempio, se al filtro OAuth2 viene inviata una richiesta con schema HTTP misto, non supererà i controlli di corrispondenza esatta per HTTP e informerà l'endpoint remoto che lo schema è HTTPS, bypassando potenzialmente i controlli OAuth2 specifici per le richieste HTTP.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Alta

GCP-2023-020

Updated:2023-07-26

Pubblicato il: 24/07/2023

Descrizione

Descrizione Gravità Note

AMD ha rilasciato un aggiornamento del microcodice che risolve una vulnerabilità di sicurezza hardware (CVE-2023-20593). Google ha applicato le correzioni necessarie per questa vulnerabilità al proprio parco di server, inclusi i server per la Google Cloud Platform. I test indicano che non vi è alcun impatto sul rendimento dei sistemi.

Che cosa devo fare?

Non è richiesta alcuna azione da parte dei clienti, poiché le correzioni sono già state applicate al parco di server Google per la Google Cloud Platform.

Quali vulnerabilità vengono affrontate?

CVE-2023-20593 risolve una vulnerabilità in alcune CPU AMD. Puoi trovare altre informazioni qui.

Alta CVE-2023-20593

GCP-2023-019

Published:2023-07-18

Descrizione

Descrizione Gravità Note

In Envoy è stata scoperta una nuova vulnerabilità (CVE-2023-35945) per cui una risposta creata appositamente da un servizio upstream non attendibile può causare un denial of service tramite l'esaurimento della memoria. Questo problema è causato dal codec HTTP/2 di Envoy, che potrebbe rivelare una mappa degli header e strutture di contabilità al momento della ricezione di RST_STREAM immediatamente seguito dai frame GOAWAY da un server a monte.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Alta CVE-2023-35945

GCP-2023-018

Pubblicato il: 27/06/2023

Descrizione

Descrizione Gravità Note

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-2235) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE Autopilot sono interessati perché i nodi GKE Autopilot utilizzano sempre le immagini dei nodi di Container-Optimized OS. I cluster GKE Standard con versioni 1.25 o successive che eseguono immagini dei nodi Container-Optimized OS sono interessati.

I cluster GKE non sono interessati se eseguono solo immagini dei nodi Ubuntu, versioni precedenti alla 1.25 o GKE Sandbox.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-2235

GCP-2023-017

Pubblicato il: 26/06/2023

Aggiornamento: 11/07/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 11/07/2023: le nuove versioni di GKE sono state aggiornate per includere le ultime versioni di Ubuntu con patch per CVE-2023-31436.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2023-31436) che può portare a un'escalation dei privilegi sul nodo. I cluster GKE, inclusi i cluster Autopilot, sono interessati. I cluster GKE che utilizzano GKE Sandbox non sono interessati.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-31436

GCP-2023-016

Pubblicato il: 26/06/2023

Descrizione

Descrizione Gravità Note

In Envoy, utilizzato in Cloud Service Mesh, sono state scoperte diverse vulnerabilità che consentono a un malintenzionato di causare un denial of service o un arresto anomalo di Envoy. Questi problemi sono stati segnalati separatamente come GCP-2023-002.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-27496, CVE-2023-27488, CVE-2023-27493, CVE-2023-27492, CVE-2023-27491, CVE-2023-27487

GCP-2023-015

Pubblicato il: 20/06/2023

Descrizione

Descrizione Gravità Note

Nel kernel Linux è stata scoperta una nuova vulnerabilità, CVE-2023-0468, che potrebbe consentire a un utente senza privilegi di eseguire l'escalation dei privilegi a root quando io_poll_get_ownership continuerà ad aumentare req->poll_refs su ogni io_poll_wake e poi verrà superato il valore 0, il che comporterà l'esecuzione di fput req->file due volte e causerà un problema di refcount della struttura file. Sono interessati i cluster GKE, inclusi i cluster Autopilot, con Container-Optimized OS che utilizza la versione 5.15 del kernel Linux. I cluster GKE che utilizzano immagini Ubuntu o GKE Sandbox non sono interessati.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Medio CVE-CVE-2023-0468

GCP-2023-014

Ultimo aggiornamento: 11/08/2023
Data di pubblicazione: 15/06/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 11/08/2023: sono state aggiunte le versioni delle patch per GKE su VMware, GKE su AWS, GKE su Azure e Google Distributed Cloud Virtual per Bare Metal.

In Kubernetes sono stati scoperti due nuovi problemi di sicurezza in cui gli utenti potrebbero essere in grado di avviare container che aggirano le limitazioni dei criteri quando utilizzano container temporanei e ImagePolicyWebhook (CVE-2023-2727) o il plug-in di ammissione ServiceAccount (CVE-2023-2728).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Medio CVE-2023-2727, CVE-2023-2728

GCP-2023-013

Pubblicato il: 08/06/2023

Descrizione

Descrizione Gravità Note

Quando abiliti l'API Cloud Build in un progetto, Cloud Build crea automaticamente un account di servizio predefinito per eseguire build per tuo conto. In precedenza, questo account di servizio Cloud Build aveva l'autorizzazione IAM logging.privateLogEntries.list, che consentiva alle build di accedere all'elenco dei log privati per impostazione predefinita. Questa autorizzazione è stata revocata dall'account di servizio Cloud Build per ottemperare al principio di sicurezza del privilegio minimo.

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di Cloud Build.

 Bassa

GCP-2023-010

Pubblicato il: 07/06/2023

Descrizione

Descrizione Gravità Note

Google ha identificato tre nuove vulnerabilità nell'implementazione di gRPC C ++. Queste verranno presto pubblicate pubblicamente come CVE-2023-1428, CVE-2023-32731 e CVE-2023-32732.

Ad aprile abbiamo identificato due vulnerabilità nelle release 1.53 e 1.54. Una era una vulnerabilità di Denial-of-Service nell'implementazione C++ di gRPC e l'altra una vulnerabilità di esfiltrazione di dati da remoto. Questi problemi sono stati risolti nelle release 1.53.1, 1.54.2 e successive.

A marzo, i nostri team interni hanno scoperto una vulnerabilità di Denial of Service nell'implementazione C++ di gRPC durante l'esecuzione di attività di fuzzing di routine. È stato rilevato nella release gRPC 1.52 ed è stato corretto nelle release 1.52.2 e 1.53.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • Per grpc (C++, Python, Ruby) versione 1.52, 1.53 e 1.54 è necessario eseguire l'upgrade alle seguenti release con patch:
    • 1.52.2
    • 1.53.1
    • 1.54.2
  • Le versioni 1.51 e precedenti di grpc (C++, Python, Ruby) non sono interessate, pertanto gli utenti con queste versioni non devono intraprendere alcuna azione

Quali vulnerabilità vengono affrontate da queste patch?

Queste patch mitigano le seguenti vulnerabilità:

  • Le release 1.53.1, 1.54.2 e successive risolvono il seguente problema: vulnerabilità Denial of Service nell'implementazione di gRPC C++. Le richieste appositamente create possono causare l'interruzione della connessione tra un proxy e un backend. Vulnerabilità di esfiltrazione di dati da remoto: la mancata sincronizzazione nella tabella HPACK a causa di limitazioni delle dimensioni dell'intestazione può portare a perdite di dati dell'intestazione da parte dei backend proxy di altri client connessi a un proxy.
  • Le versioni 1.52.2, 1.53 e successive risolvono quanto segue: vulnerabilità denial of service all'interno dell'implementazione C++ di gRPC. L'analisi di alcune richieste formattate in modo specifico può causare un arresto anomalo che interessa un server.

Ti consigliamo di eseguire l'upgrade alle versioni più recenti dei seguenti pacchetti software elencati sopra.

 Elevata (CVE-2023-1428, CVE-2023-32731). Medio (CVE-2023-32732) CVE-2023-1428, CVE-2023-32731, CVE-023-32732

GCP-2023-009

Pubblicato il: 06/06/2023

Descrizione

Descrizione Gravità Note

È stata scoperta una nuova vulnerabilità (CVE-2023-2878) nel driver secrets-store-csi, in cui un attore con accesso ai log del driver potrebbe osservare i token dell'account di servizio.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Nessuno CVE-2023-2878

GCP-2023-008

Pubblicato il: 05/06/2023

Descrizione

Descrizione Gravità Note

È stata scoperta una nuova vulnerabilità (CVE-2023-1872) nel kernel Linux che può portare a escalation dei privilegi per root sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-1872

GCP-2023-007

Pubblicato il: 02/06/2023

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità in Cloud SQL per SQL Server che consentiva agli account amministratore del cliente di creare trigger nel database tempdb e utilizzarli per ottenere i privilegi sysadmin nell'istanza. I privilegi sysadmin darebbero all'attaccante l'accesso ai database di sistema e l'accesso parziale alla macchina che esegue l'istanza di SQL Server.

Google Cloud ha risolto il problema applicando una patch alla vulnerabilità di sicurezza entro il 1° marzo 2023. Google Cloud non ha trovato istanze cliente compromesse.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud SQL.

 Alta

GCP-2023-005

Pubblicato il: 18/05/2023

Aggiornamento: 06/06/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 06/06/2023: le nuove versioni di GKE sono state aggiornate per includere le versioni più recenti di Ubuntu che applicano patch a CVE-2023-1281 e CVE-2023-1829.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2023-1281, CVE-2023-1829) che possono portare a escalation dei privilegi per root sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-1281 CVE-2023-1829

GCP-2023-004

Pubblicato il: 26/04/2023

Descrizione

Descrizione Gravità Note

In Trusted Platform Module (TPM) 2.0 sono state scoperte due vulnerabilità (CVE-2023-1017 e CVE-2023-1018).

Le vulnerabilità potrebbero aver consentito a un utente malintenzionato sofisticato di sfruttare una lettura/scrittura fuori limite di 2 byte su alcune VM Compute Engine.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

 Medio

GCP-2023-003

Pubblicato il: 11/04/2023

Aggiornamento: 21-12-2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel di Linux sono state scoperte due nuove vulnerabilità, CVE-2023-0240 e CVE-2023-23586, che potrebbero consentire a un utente senza privilegi di eseguire l'escalation dei privilegi.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2023-0240, CVE-2023-23586

GCP-2023-002

Descrizione

Descrizione Gravità Note

Le seguenti CVE espongono Cloud Service Mesh a vulnerabilità sfruttabili:

  • CVE-2023-27496: se Envoy è in esecuzione con il filtro OAuth abilitato, un attore malintenzionato potrebbe creare una richiesta che causerebbe un attacco di denial of service facendo arrestare in modo anomalo Envoy.
  • CVE-2023-27488: l’utente malintenzionato può utilizzare questa vulnerabilità per bypassare i controlli di autenticazione quando viene utilizzato ext_authz.
  • CVE-2023-27493: la configurazione di Envoy deve includere anche un'opzione per aggiungere intestazioni di richiesta generate utilizzando gli input della richiesta, ad esempio la SAN del certificato peer.
  • CVE-2023-27492: gli utenti malintenzionati possono inviare grandi corpi di richiesta per i percorsi in cui è attivato il filtro Lua e attivare arresti anomali.
  • CVE-2023-27491: gli aggressori possono inviare richieste HTTP/2 o HTTP/3 appositamente create per attivare errori di analisi nel servizio upstream HTTP/1.
  • CVE-2023-27487: l'intestazione "x-envoy-original-path" dovrebbe essere un'intestazione interna, ma Envoy non la rimuove dalla richiesta all'inizio dell'elaborazione della richiesta quando viene inviata da un client non attendibile.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Alta

GCP-2023-001

Pubblicato: 21/03/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-4696) che può portare a un'escalation dei privilegi sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta CVE-2022-4696

GCP-2022-026

Pubblicato: 11/01/2023

Descrizione

Descrizione Gravità Note

In OpenSSL 3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che possono potenzialmente causare un arresto anomalo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Medio

GCP-2022-025

Pubblicato il: 21/12/2022
Aggiornamento: 19/01/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento 19/01/2023: sono state aggiunte informazioni sulla disponibilità di GKE versione 1.21.14-gke.14100.

In OpenSSL 3.0.6 sono state scoperte due nuove vulnerabilità (CVE-2022-3786 e CVE-2022-3602) che possono potenzialmente causare un arresto anomalo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Medio

GCP-2022-024

Pubblicato il: 09/11/2022

Ultimo aggiornamento: 19/01/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 19/01/2023: sono state aggiunte informazioni sulla disponibilità della versione GKE 1.21.14-gke.14100.

Aggiornamento del 16/12/2022: sono state aggiunte le versioni delle patch per GKE e GKE su VMware.

Nel kernel Linux sono state scoperte due nuove vulnerabilità (CVE-2022-2585 e CVE-2022-2588) che possono portare alla separazione di un container completo sul nodo.

Per istruzioni e ulteriori dettagli, consulta:

Alta

GCP-2022-023

Pubblicato il: 04/11/2022

Descrizione

Descrizione Gravità Note

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-39278, in Istio, utilizzato in Cloud Service Mesh, che consente a un malintenzionato di arrestare in modo anomalo il control plane.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alta CVE-2022-39278

GCP-2022-022

Pubblicato il: 28/10/2022

Aggiornato: 14/12/2022

Descrizione

Descrizione Gravità Note

Aggiornamento del 14/12/2022: sono state aggiunte le versioni delle patch per GKE e GKE su VMware.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-20409) che potrebbe consentire a un utente senza privilegi di eseguire l'escalation al privilegio di esecuzione di sistema.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alta CVE-2022-20409

GCP-2022-021

Pubblicato il: 27/10/2022

Ultimo aggiornamento: 19/01/2023, 21/12/2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento 19/01/2023: sono state aggiunte informazioni sulla disponibilità di GKE versione 1.21.14-gke.14100.

Aggiornamento del 15/12/2022: è stata aggiornata l'informazione che la versione 1.21.14-gke.9400 di Google Kubernetes Engine è in attesa di implementazione e potrebbe essere sostituita da un numero di versione successivo.

Aggiornamento del 22/11/2022: sono state aggiunte le versioni delle patch per GKE su VMware, GKE su AWS e GKE su Azure.

Nel kernel di Linux è stata scoperta una nuova vulnerabilità (CVE-2022-3176) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente non privilegiato di eseguire un attacco di estrazione completa del contenitore per ottenere l'accesso root sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alta CVE-2022-3176

GCP-2022-020

Pubblicato il: 05/10/2022

Ultimo aggiornamento: 12/10/2022

Descrizione

Descrizione Gravità Note

Il control plane di Istio istiod è vulnerabile a un errore di elaborazione delle richieste, che consente a un malintenzionato di inviare un messaggio appositamente creato che causa l'arresto anomalo del control plane quando il webhook di convalida per un cluster è esposto pubblicamente. Questo endpoint viene servito sulla porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'aggressore.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

 Alta CVE-2022-39278

GCP-2022-019

Pubblicato il: 22/09/2022

Descrizione

Descrizione Gravità Note

Una vulnerabilità di analisi e gestione della memoria dei messaggi nelle implementazioni di ProtocolBuffer in C++ e Python può attivare un errore di esaurimento della memoria (OOM) durante l'elaborazione di un messaggio appositamente creato. Ciò potrebbe causare un denial of service (DoS) sui servizi che utilizzano le librerie.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti di software:

  • protobuf-cpp (3.18.3, 3.19.5, 3.20.2, 3.21.6)
  • protobuf-python (3.18.3, 3.19.5, 3.20.2, 4.21.6)

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

Un piccolo messaggio appositamente creato che causa l'allocazione di grandi quantità di RAM da parte del servizio in esecuzione. Le piccole dimensioni della richiesta fanno sì che sia facile sfruttare la vulnerabilità ed esaurire le risorse. I sistemi C++ e Python che utilizzano protobuf non attendibili sarebbero vulnerabili agli attacchi DoS se contengono un oggetto MessageSet nella richiesta RPC.

Medio CVE-2022-1941

GCP-2022-018

Pubblicato: 01/08/2022

Aggiornamento: 14-09-2022, 21-12-2023

Descrizione

Descrizione Gravità Note

Aggiornamento del 21/12/2023: è stato chiarito che i cluster GKE Autopilot nella configurazione predefinita non sono interessati.

Aggiornamento del 14/09/2022: sono state aggiunte le versioni delle patch per GKE su VMware, GKE su AWS e GKE su Azure.

Nel kernel Linux è stata scoperta una nuova vulnerabilità (CVE-2022-2327) che può portare all'escalation dei privilegi locali. Questa vulnerabilità consente a un utente non privilegiato di eseguire un breakout completo del contenitore per ottenere l'accesso root sul nodo.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

Alta CVE-2022-2327

GCP-2022-017

Pubblicato il: 29/06/2022
Aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento del 22/11/2022: i carichi di lavoro che utilizzano GKE Sandbox non sono interessati da queste vulnerabilità.

Aggiornamento del 21/07/2022: ulteriori informazioni su GKE su VMware.

È stata scoperta una nuova vulnerabilità (CVE-2022-1786) nelle versioni 5.10 e 5.11 del kernel Linux. Questa vulnerabilità consente a un utente senza privilegi con accesso locale al cluster di eseguire un'estrazione completa del contenitore per ottenere l'accesso root sul nodo. Sono interessati solo i cluster che eseguono Container-Optimized OS. Le versioni Ubuntu di GKE utilizzano la versione 5.4 o 5.15 del kernel e non sono interessate.

Per istruzioni e ulteriori dettagli, consulta:

 Alta CVE-2022-1786

GCP-2022-016

Pubblicato il: 23/06/2022
Aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento del 22/11/2022: i cluster Autopilot non sono interessati da CVE-2022-29581, ma sono vulnerabili a CVE-2022-29582 e CVE-2022-1116.

Nel kernel di Linux sono state scoperte tre nuove vulnerabilità di corruzione della memoria (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116). Queste vulnerabilità consentono a un utente senza privilegi con accesso locale al cluster di ottenere una suddivisione completa dei container per eseguire il rooting sul nodo. Sono interessati tutti i cluster Linux (Container-Optimized OS e Ubuntu).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini:

 Alta

GCP-2022-015

Pubblicato il: 09/06/2022
Aggiornamento: 10/06/2022

Descrizione

Descrizione Gravità Note

Aggiornamento del 10/06/2022: le versioni di Cloud Service Mesh sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Le seguenti CVE di Envoy e Istio espongono Cloud Service Mesh e Istio on GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2022-31045: il data plane di Istio può potenzialmente accedere alla memoria in modo non sicuro quando sono attivate le estensioni Metadata Exchange e Stats.
  • CVE-2022-29225: i dati possono superare i limiti del buffer intermedio se un malintenzionato passa un piccolo payload altamente compresso (attacco di bomba zip).
  • CVE-2021-29224: potenziale scollegamento di un puntatore nullo in GrpcHealthCheckerImpl.
  • CVE-2021-29226: il filtro OAuth consente un bypass banale.
  • CVE-2022-29228: il filtro OAuth può danneggiare la memoria (versioni precedenti) o attivare un ASSERT() (versioni successive).
  • CVE-2022-29227: arresto anomalo dei reindirizzamenti interni per le richieste con corpo o trailer.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Critico

GCP-2022-014

Pubblicato il: 26/04/2022
Ultimo aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento del 22/11/2022: i cluster e i carichi di lavoro GKE Autopilot in esecuzione in GKE Sandbox non sono interessati.

Aggiornamento 12/05/2022: le versioni GKE su AWS e GKE su Azure sono state aggiornate. Per istruzioni e maggiori dettagli, consulta:

Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2022-1055 e CVE-2022-27666. Ognuno può consentire a un malintenzionato locale di eseguire un'container breakout, l'escalation dei privilegi sull'host o entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi GKE (Container-Optimized OS e Ubuntu). Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta CVE-2022-1055
CVE-2022-27666

GCP-2022-013

Pubblicato il: 11/04/2022
Aggiornamento: 22/04/2022

Descrizione

Descrizione Gravità Note

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-23648, nella gestione del traversale del percorso di containerd nella specifica del volume dell'immagine OCI. I container lanciati tramite l'implementazione CRI di containerd con una configurazione dell'immagine appositamente creata potrebbero ottenere l'accesso di lettura completo a file e directory arbitrari sull'host. Questa vulnerabilità potrebbe aggirare qualsiasi applicazione basata su criteri per la configurazione dei container (incluso un criterio di sicurezza dei pod Kubernetes).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio CVE-2022-23648

GCP-2022-012

Pubblicato il: 07/04/2022
Aggiornamento: 22/11/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 22/11/2022: per i cluster GKE in entrambe le modalità, Standard e Autopilot, i carichi di lavoro che utilizzano GKE Sandbox non sono interessati.

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0847, nel kernel Linux 5.8 e versioni successive che può potenzialmente eseguire l'escalation dei privilegi del contenitore a root. Questa vulnerabilità interessa i seguenti prodotti:

  • Pool di nodi GKE 1.22 e versioni successive che utilizzano immagini di Container-Optimized OS (Container-Optimized OS 93 e versioni successive)
  • GKE on VMware v1.10 per immagini di Container-Optimized OS
  • GKE su AWS versione 1.21 e GKE su AWS (generazione precedente) versioni 1.19, 1.20, 1.21 che utilizzano Ubuntu
  • Cluster gestiti di GKE su Azure versione 1.21 che utilizzano Ubuntu

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta CVE-2022-0847

GCP-2022-011

Pubblicato il: 22/03/2022
Aggiornamento: 11/08/2022

Descrizione

Descrizione Gravità

Aggiornamento 11/08/2022: sono state aggiunte ulteriori informazioni sulla configurazione SMT (Simultaneous Multi-Threading). SMT doveva essere disattivato, ma è stato attivato nelle versioni elencate.

Se hai attivato manualmente SMT per un pool di nodi con limitazione tramite sandbox, SMT rimarrà attivato manualmente nonostante il problema.

Nelle immagini GKE Sandbox è presente un errore di configurazione con il multi-Threading simultaneo (SMT), noto anche come hyperthreading. La configurazione errata lascia i nodi potenzialmente esposti a attacchi lato canale come il Microarchitectural Data Sampling (MDS) (per maggiori informazioni, consulta la documentazione di GKE Sandbox). Ti sconsigliamo di utilizzare le seguenti versioni interessate:

  • 1.22.4-gke.1501
  • 1.22.6-gke.300
  • 1.23.2-gke.300
  • 1.23.3-gke.600

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

 Medio

GCP-2022-010

Descrizione

Descrizione Gravità Note

Il seguente CVE di Istio espone Cloud Service Mesh a una vulnerabilità sfruttabile da remoto:

  • CVE-2022-24726: il control plane di Istio, "istiod", è vulnerabile a un errore di elaborazione delle richieste, che consente a un malintenzionato di inviare un messaggio appositamente creato che causa l'arresto anomalo del control plane quando il webhook di convalida per un cluster è esposto pubblicamente. Questo endpoint viene servito sulla porta TLS 15017, ma non richiede alcuna autenticazione da parte dell'aggressore.

Per istruzioni e ulteriori dettagli, consulta il seguente bollettino sulla sicurezza:

Alta

GCP-2022-009

Pubblicato: 01/03/2022

Descrizione

Descrizione Gravità

Alcuni percorsi imprevisti per accedere alla VM del nodo sui cluster GKE Autopilot potrebbero essere stati utilizzati per eseguire la riassegnazione dei privilegi nel cluster. Questi problemi sono stati risolti e non sono necessarie ulteriori azioni. Le correzioni risolvono i problemi segnalati tramite il nostro Vulnerability Reward Program.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

 Bassa

GCP-2022-008

Pubblicato il: 23/02/2022
Ultimo aggiornamento: 28/04/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 28/04/2022: sono state aggiunte versioni di GKE su VMware che risolvono queste vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE on VMware.

Di recente il progetto Envoy ha scoperto una serie di vulnerabilità. Tutti i problemi elencati di seguito sono stati risolti nella release 1.21.1 di Envoy.
  • CVE-2022-23606: quando un cluster viene eliminato tramite il servizio Cluster Discovery Service (CDS), tutte le connessioni inattive stabilite con gli endpoint del cluster vengono disconnesse. Nella versione 1.19 di Envoy è stata introdotta erroneamente una ricorsione nella procedura di disconnessione delle connessioni inattive che può portare all'esaurimento dello stack e alla terminazione anomala del processo quando un cluster ha un numero elevato di connessioni inattive.
  • CVE-2022-21655: Il codice di reindirizzamento interno di Envoy presuppone che esista una voce di route. Quando viene eseguito un reindirizzamento interno a una route che ha una voce di risposta diretta e nessuna voce di route, si verifica il dereferenziamento di un puntatore nullo e si verifica un arresto anomalo.
  • CVE-2021-43826: Quando Envoy è configurato per utilizzare tcp_proxy che utilizza il tunneling upstream (tramite HTTP) e la terminazione TLS downstream, Envoy si arresta in modo anomalo se il client downstream si disconnette durante l'handshake TLS mentre lo stream HTTP upstream è ancora in fase di creazione. La disconnessione a valle può essere avviata dal client o dal server. Il cliente può disconnettersi per qualsiasi motivo. Il server potrebbe disconnettersi se, ad esempio, non dispone di crittografi TLS o di versioni del protocollo TLS compatibili con il client. Potrebbe essere possibile attivare questo arresto anomalo anche in altre configurazioni a valle.
  • CVE-2021-43825: L'invio di una risposta generata localmente deve interrompere l'ulteriore elaborazione dei dati della richiesta o della risposta. Envoy monitora la quantità di dati di richiesta e risposta presenti nel buffer e interrompe la richiesta se la quantità di dati nel buffer supera il limite inviando 413 o 500 risposte. Tuttavia, quando viene inviata la risposta generata localmente a causa di overflow del buffer interno durante l'elaborazione della risposta da parte della catena di filtri, l'operazione potrebbe non essere interrotta correttamente e comportare l'accesso a un blocco di memoria liberato.
  • CVE-2021-43824: Envoy si arresta in modo anomalo quando si utilizza il filtro JWT con una regola di corrispondenza "safe_regex" e una richiesta appositamente creata come "CONNECT host:port HTTP/1.1". Quando raggiungi il filtro JWT, una regola "safe_regex" dovrebbe valutare il percorso dell'URL, ma non ce n'è nessuno qui, e Envoy si arresta in modo anomalo con segfault.
  • CVE-2022-21654: Envoy consentiva erroneamente la ripresa della sessione TLS dopo la riconfigurazione delle impostazioni di convalida mTLS. Se un certificato client era consentito con la vecchia configurazione ma non consentito con la nuova configurazione, il client potrebbe riprendere la sessione TLS precedente anche se la configurazione attuale dovrebbe non consentirla. Le modifiche alle seguenti impostazioni sono interessate:
    • match_subject_alt_names
    • Modifiche ai CRL
    • allow_expired_certificate
    • Trust_chain_verification
    • only_verify_leaf_cert_crl
  • CVE-2022-21657: Envoy non limita l'insieme di certificati accettati dal peer, come client TLS o server TLS, solo a quelli che contengono il valore necessario per extendedKeyUsage (rispettivamente id-kp-serverAuth e id-kp-clientAuth). Ciò significa che un peer può presentare un certificato email (ad es. id-kp-emailProtection) come certificato finale o come CA nella catena e verrà accettato per TLS. Questo è particolarmente grave se combinato con la vulnerabilità CVE-2022-21656 , in quanto consente a una CA PKI web destinata esclusivamente all'utilizzo con S/MIME, e quindi esente da controlli o supervisione, di emettere certificati TLS che verranno accettati da Envoy.
  • CVE-2022-21656: l'implementazione dello strumento di convalida utilizzata per implementare le routine di convalida dei certificati predefinite presenta un bug di "confusione" durante l'elaborazione di subjectAltNames. Questa elaborazione consente, ad esempio, di autenticare un rfc822Name o uniformResourceIndicator come nome di dominio. Questa confusione consente di aggirare i vincoli dei nomi, come elaborati dall'implementazione OpenSSL/BoringSSL sottostante, esponendo la possibilità di rubare l'identità di server arbitrari.
Per istruzioni dettagliate su prodotti specifici, consulta i seguenti bollettini sulla sicurezza:
Che cosa devo fare?
Gli utenti di Envoy che gestiscono i propri Envoy devono assicurarsi di utilizzare la versione 1.21.1 di Envoy. Gli utenti di Envoy che gestiscono i propri Envoy compilano i binari da una fonte come GitHub ed eseguono il loro deployment.

Gli utenti che eseguono Envoy gestiti (Google Cloud fornisce i binari di Envoy) non devono eseguire alcuna azione, in quanto i prodotti Google Cloud passeranno alla versione 1.21.1. 		Alta CVE-2022-23606
CVE-2022-21655
CVE-2021-43826
CVE-2021-43825
CVE-2021-43824
CVE-25
42-216}
CVE-2022-21657CVE-2022-21656

GCP-2022-007

Pubblicato il: 22/02/2022

Descrizione

Descrizione Gravità Note

I seguenti CVE di Envoy e Istio espongono Cloud Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2022-23635: Istiod si arresta in modo anomalo alla ricezione di richieste con un'intestazione authorization appositamente creata.
  • CVE-2021-43824: potenziale dereferenza del puntatore nullo quando viene utilizzato il filtro JWT per la corrispondenza safe_regex
  • CVE-2021-43825: uso dopo svuotamento quando i filtri di risposta aumentano i dati di risposta e i dati aumentati superano i limiti del buffer a valle.
  • CVE-2021-43826: uso dopo svuotamento durante il tunneling TCP su HTTP, se la connessione a valle si disconnette durante l'instaurazione della connessione a monte.
  • CVE-2022-21654: la gestione errata della configurazione consente il riutilizzo della sessione mTLS senza nuova convalida dopo la modifica delle impostazioni di convalida.
  • CVE-2022-21655: gestione errata dei reindirizzamenti interni alle route con una voce di risposta diretta.
  • CVE-2022-23606: esaurimento dello stack quando un cluster viene eliminato tramite il servizio Cluster Discovery.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta

GCP-2022-006

Pubblicato il: 14/02/2022
Aggiornamento: 16/05/2022

Descrizione

Descrizione Gravità Note

Aggiornamento del 16/05/2022: è stata aggiunta la versione GKE 1.19.16-gke.7800 o successiva all'elenco delle versioni con codice per correggere questa vulnerabilità. Per maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Aggiornamento del 12/05/2022: le versioni GKE, GKE su VMware, GKE su AWS e GKE su Azure sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

È stata scoperta una vulnerabilità di sicurezza, CVE-2022-0492, nella funzione cgroup_release_agent_write del kernel Linux. L'attacco utilizza spazi dei nomi utente non privilegiati e, in determinate circostanze, questa vulnerabilità può essere sfruttata per l'container breakout.

 Bassa

Per istruzioni e ulteriori dettagli, consulta:

GCP-2022-005

Pubblicato il: 11/02/2022
Aggiornamento: 15/02/2022

Descrizione

Descrizione Gravità Note

È stata scoperta una vulnerabilità di sicurezza, CVE-2021-43527, in tutti i file binari che rimandano alle versioni vulnerabili di libnss3 presenti nelle versioni NSS (Network Security Services) precedenti alla 3.73 o alla 3.68.1. Le applicazioni che utilizzano NSS per la convalida dei certificati o altre funzionalità TLS, X.509, OCSP o CRL potrebbero essere interessate, a seconda di come NSS viene utilizzato/configurato.

Per istruzioni e ulteriori dettagli, consulta:

Medio CVE-2021-43527

GCP-2022-004

Pubblicato il: 04/02/2022

Descrizione

Descrizione Gravità Note

In pkexec, una parte del pacchetto polkit (Linux Policy Kit), è stata scoperta una vulnerabilità di sicurezza CVE-2021-4034, che consente a un utente autenticato di eseguire un attacco di escalation dei privilegi. PolicyKit viene generalmente utilizzato solo sui sistemi desktop Linux per consentire agli utenti non root di eseguire azioni come riavviare il sistema, installare pacchetti, riavviare servizi e così via, come regolato da un criterio.

Per istruzioni e ulteriori dettagli, consulta:

Nessuno CVE-2021-4034

GCP-2022-002

Pubblicato il: 01/02/2022
Aggiornamento: 25/02/2022

Descrizione

Descrizione Gravità Note

Aggiornamento 25/02/2022: le versioni GKE sono state aggiornate. Per istruzioni e ulteriori dettagli, consulta:

Aggiornamento del 23/02/2022: le versioni GKE e GKE su VMware sono state aggiornate. Per istruzioni e maggiori dettagli, consulta:

Aggiornamento del 04/02/2022: la data di inizio dell'implementazione delle versioni con patch di GKE è stata il 2 febbraio.

Nel kernel Linux sono state scoperte tre vulnerabilità di sicurezza, CVE-2021-4154, CVE-2021-22600, e CVE-2022-0185, ognuna delle quali può portare a un'container breakout, a un'escalation dei privilegi sull'host o a entrambe. Queste vulnerabilità interessano tutti i sistemi operativi dei nodi (COS e Ubuntu) su GKE, GKE su VMware, GKE su AWS (attuale e generazione precedente) e GKE su Azure. I pod che utilizzano GKE Sandbox non sono vulnerabili a queste vulnerabilità. Per ulteriori dettagli, consulta le note di rilascio di COS.

Per istruzioni e ulteriori dettagli, consulta:

Alta

GCP-2022-001

Pubblicato il: 06/01/2022

Descrizione

Descrizione Gravità Note

È stato rilevato un potenziale problema di Denial of Service in protobuf-java nella procedura di analisi dei dati binari.

Che cosa devo fare?

Assicurati di utilizzare le versioni più recenti dei seguenti pacchetti software:

  • protobuf-java (3.16.1, 3.18.2, 3.19.2)
  • protobuf-kotlin (3.18.2, 3.19.2)
  • google-protobuf [gem JRuby] (3.19.2)

Gli utenti di Protobuf "javalite" (in genere Android) non sono interessati.

Quali vulnerabilità vengono affrontate da questa patch?

La patch attenua la seguente vulnerabilità:

Una debolezza di implementazione nel modo in cui i campi sconosciuti vengono analizzati in Java. Un caricamento utile malevolo di piccole dimensioni (~800 KB) può occupare il parser per diversi minuti creando un numero elevato di oggetti di breve durata che causano frequenti, ripetute interruzioni garbage collection.

 Alta CVE-2021-22569

GCP-2021-024

Pubblicato: 21/10/2021

Descrizione

Descrizione Gravità Note

È stato rilevato un problema di sicurezza nel controller ingress-nginx di Kubernetes, CVE-2021-25742. Gli snippet personalizzati di Ingress-nginx consentono di recuperare i token e i secret degli account di servizio ingress-nginx in tutti gli spazi dei nomi.

Per istruzioni e ulteriori dettagli, consulta:

Nessuno CVE-2021-25742

GCP-2021-019

Pubblicato il: 29/09/2021

Descrizione

Descrizione Gravità Note

Esiste un problema noto per cui l'aggiornamento di una risorsa BackendConfig utilizzando l'API v1beta1 rimuove un criterio di sicurezza di Google Cloud Armor attivo dal servizio.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

 Bassa

GCP-2021-022

Pubblicato il: 22/09/2021

Descrizione

Descrizione Gravità Note

È stata scoperta una vulnerabilità nel modulo LDAP di GKE Enterprise Identity Service (AIS) di GKE sulle versioni 1.8 e 1.8.1 di VMware, in cui una chiave di seed utilizzata per la generazione delle chiavi è prevedibile. Con questa vulnerabilità, un utente autenticato potrebbe aggiungere attestazioni arbitrarie e aumentare i privilegi a tempo indeterminato.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE su VMware.

 Alta

GCP-2021-021

Pubblicato: 22/09/2021

Descrizione

Descrizione Gravità Note

In Kubernetes è stata scoperta una vulnerabilità di sicurezza, CVE-2020-8561, che consente di creare determinati webhook per reindirizzare le richieste di kube-apiserver alle reti private di quel server API.

Per istruzioni e ulteriori dettagli, consulta:

Medio CVE-2020-8561

GCP-2021-023

Pubblicato il: 21/09/2021

Descrizione

Descrizione Gravità Note

In base all'avviso sulla sicurezza VMware VMSA-2021-0020, VMware ha ricevuto segnalazioni di più vulnerabilità in vCenter. VMware ha reso disponibili aggiornamenti per risolvere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo già applicato le patch fornite da VMware per lo stack vSphere a Google Cloud VMware Engine in base all'avviso di sicurezza VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 e CVE-2021-22010. Altri problemi di sicurezza non critici verranno risolti nel prossimo upgrade dello stack VMware (come da preavviso inviato a luglio, ulteriori dettagli verranno forniti a breve sulle tempistiche specifiche dell'upgrade).

Impatto di VMware Engine

Dai nostri accertamenti è emerso che nessun cliente è stato interessato.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

 Critico

GCP-2021-020

Pubblicato il: 17/09/2021

Descrizione

Descrizione Gravità Note

Alcuni bilanciatori del carico di Google Cloud che eseguono il routing a un servizio di backend abilitato per Identity-Aware Proxy (IAP) potrebbero essere stati vulnerabili a un soggetto non attendibile in condizioni limitate. Questo aggiornamento risolve un problema segnalato tramite il nostro Vulnerability Reward Program.

Le condizioni erano che i server:
  • Erano bilanciatori del carico HTTP(S) e
  • È stato utilizzato un backend predefinito o un backend con una regola di mappatura host con caratteri jolly (ossia host="*")

Inoltre, un utente della tua organizzazione deve aver fatto clic su un link creato appositamente e inviato da un soggetto non attendibile.

Il problema è stato risolto. A partire dal 17 settembre 2021, IAP è stato aggiornato per emettere cookie solo per gli host autorizzati. Un host è considerato autorizzato se corrisponde ad almeno un Nome alternativo del soggetto (SAN) in uno dei certificati installati sui bilanciatori del carico.

Cosa fare

Alcuni dei tuoi utenti potrebbero riscontrare una risposta HTTP 401 Non autorizzata con il codice di errore IAP 52 durante il tentativo di accedere ad app o servizi. Questo codice di errore indica che il client ha inviato un'intestazione Host che non corrisponde ad alcun nome alternativo del soggetto associato ai certificati SSL del bilanciatore del carico. L'amministratore del bilanciatore del carico deve aggiornare il certificato SSL per assicurarsi che l'elenco Subject Alternative Name (SAN) contenga tutti i nomi host tramite i quali gli utenti accedono alle app o ai servizi protetti da IAP. Scopri di più sui codici di errore IAP.

Alta

GCP-2021-018

Pubblicato il: 15/09/2021
Ultimo aggiornamento: 20/09/2021

Descrizione

Descrizione Gravità Note

In Kubernetes, CVE-2021-25741 è stato rilevato un problema di sicurezza, dove un utente potrebbe essere in grado di creare un container con montaggi di volume di percorsi secondari per accedere a file e directory all'esterno del volume, incluso il file system dell'host.

Per istruzioni e ulteriori dettagli, consulta:

Alta CVE-2021-25741

GCP-2021-017

Pubblicato il: 01/09/2021
Ultimo aggiornamento: 23/09/2021

Descrizione

Descrizione Gravità Note

Aggiornamento del 23/09/2021: i container in esecuzione all'interno di GKE Sandbox non sono interessati da questa vulnerabilità per gli attacchi provenienti dall'interno del container.

Nel kernel di Linux sono state scoperte due vulnerabilità di sicurezza, CVE-2021-33909 e CVE-2021-33910, che possono causare un arresto anomalo del sistema operativo o un'escalation a root da parte di un utente senza privilegi. Questa vulnerabilità riguarda tutti i sistemi operativi dei nodi GKE (COS e Ubuntu).

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta CVE-2021-33909, CVE-2021-33910

GCP-2021-016

Pubblicato il: 24/08/2021

Descrizione

Descrizione Gravità Note

I seguenti CVE di Envoy e Istio espongono Cloud Service Mesh e Istio su GKE a vulnerabilità sfruttabili da remoto:

  • CVE-2021-39156: le richieste HTTP con un frammento (una sezione alla fine di un URI che inizia con il carattere #) nel percorso dell'URI potrebbero aggirare i criteri di autorizzazione basati sul percorso dell'URI di Istio.
  • CVE-2021-39155: le richieste HTTP potrebbero potenzialmente ignorare un criterio di autorizzazione Istio quando si utilizzano regole basate su hosts o notHosts.
  • CVE-2021-32781: interessa le estensioni decompressor, json-transcoder o grpc-web di Envoy o le estensioni proprietarie che modificano e aumentano le dimensioni dei corpi della richiesta o della risposta. La modifica e l'aumento delle dimensioni del corpo in un'estensione di Envoy oltre le dimensioni del buffer interno potrebbero portare Envoy ad accedere alla memoria deallocata e ad arrestarsi in modo anomalo.
  • CVE-2021-32780: un servizio upstream non attendibile potrebbe causare l'interruzione anomala di Envoy inviando il frame GOAWAY seguito dal frame SETTINGS con il parametro SETTINGS_MAX_CONCURRENT_STREAMS impostato su 0. (Non applicabile a Istio on GKE)
  • CVE-2021-32778: un client Envoy che apre e reimposta un numero elevato di richieste HTTP/2 potrebbe causare un consumo eccessivo della CPU. (Non applicabile a Istio su GKE)
  • CVE-2021-32777: le richieste HTTP con più intestazioni di valore potrebbero eseguire un controllo incompleto dei criteri di autorizzazione quando viene utilizzata l'estensione ext_authz.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta

GCP-2021-015

Pubblicato il: 13/07/2021
Aggiornamento: 15/07/2021

Descrizione

Descrizione Gravità Note

È stata scoperta una nuova vulnerabilità di sicurezza, CVE-2021-22555, in cui un attore malintenzionato con privilegi CAP_NET_ADMIN può potenzialmente causare uncontainer breakout per ottenere i privilegi di root sull'host. Questa vulnerabilità interessa tutti i cluster GKE e GKE on VMware che esegue Linux versione 2.6.19 o successive.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Alta CVE-2021-22555

GCP-2021-014

Pubblicato il: 05/07/2021

Descrizione

Descrizione Gravità Note

Microsoft ha pubblicato un bollettino sulla sicurezza relativo a una vulnerabilità di esecuzione di codice remoto (RCE), CVE-2021-34527, che interessa lo spooler di stampa nei server Windows. Il CERT Coordination Center (CERT/CC) ha pubblicato una nota di aggiornamento su una vulnerabilità correlata, denominata "PrintNightmare", che interessa anche gli spooler di stampa di Windows: PrintNightmare, Critical Windows Print Spooler Vulnerability

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Alta CVE-2021-34527

GCP-2021-012

Pubblicato il: 24/06/2021
Ultimo aggiornamento: 09/07/2021

Descrizione

Descrizione Gravità Note

Il progetto Istio ha annunciato recentemente una vulnerabilità di sicurezza in cui è possibile accedere alle credenziali specificate nel campo Gateway e DestinationRule credentialName da diversi spazi dei nomi.

Per istruzioni specifiche per il prodotto e ulteriori dettagli, consulta:

 Alta CVE-2021-34824

GCP-2021-011

Pubblicato il: 04/06/2021
Ultimo aggiornamento: 19/10/2021

Descrizione

Descrizione Gravità Note

Aggiornamento del 19/10/2021:

Per istruzioni e maggiori dettagli, consulta i seguenti bollettini sulla sicurezza:

La community di sicurezza ha recentemente divulgato una nuova vulnerabilità di sicurezza (CVE-2021-30465) trovata in runc che potrebbe consentire l'accesso completo al file system di un nodo.

Per GKE, poiché lo sfruttamento di questa vulnerabilità richiede la possibilità di creare pod, abbiamo valutato la gravità di questa vulnerabilità come MEDIA.

Per istruzioni e maggiori dettagli, consulta il Bollettino sulla sicurezza di GKE.

Medio CVE-2021-30465

GCP-2021-010

Pubblicato il: 25/05/2021

Descrizione

Descrizione Gravità Note

In base all'avviso sulla sicurezza VMware VMSA-2021-0010, le vulnerabilità di bypass dell'autenticazione e di esecuzione di codice remoto in vSphere Client (HTML5) sono state segnalate privatamente a VMware. VMware ha reso disponibili aggiornamenti per rimediare a queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le patch fornite da VMware per lo stack vSphere in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21985 e CVE-2021-21986. Al momento le versioni delle immagini in esecuzione nel cloud privato VMware Engine non riflettono alcuna modifica per indicare le patch applicate. Ti assicuriamo che sono state installate patch appropriate e che il tuo ambiente è protetto da queste vulnerabilità.

Impatto di VMware Engine

Dai nostri accertamenti è emerso che nessun cliente è stato interessato.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

 Critico

GCP-2021-008

Pubblicato il: 17/05/2021

Descrizione

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto per cui un client esterno può accedere a servizi imprevisti nel cluster, bypassando i controlli di autorizzazione, quando un gateway è configurato con la configurazione del routing AUTO_PASSTHROUGH.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Alta

 CVE-2021-31921

GCP-2021-007

Pubblicato: 17/05/2021

Descrizione

Descrizione Gravità Note

Istio contiene una vulnerabilità sfruttabile da remoto in cui un percorso della richiesta HTTP con più barre o caratteri barra emessi (%2F o %5C) potrebbe potenzialmente aggirare un criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Cloud Service Mesh.

Alta

 CVE-2021-31920

GCP-2021-006

Pubblicato il: 11/05/2021

Descrizione

Descrizione Gravità Note

Di recente il progetto Istio ha divulgato una nuova vulnerabilità di sicurezza (CVE-2021-31920) che interessa Istio.

Istio contiene una vulnerabilità sfruttabile da remoto, per cui una richiesta HTTP contenente più barre o barre di escape può ignorare il criterio di autorizzazione Istio quando vengono utilizzate regole di autorizzazione basate sul percorso.

Per istruzioni e ulteriori dettagli, consulta:

Alta

 CVE-2021-31920

GCP-2021-005

Pubblicato il: 11/05/2021

Descrizione

Descrizione Gravità Note

Una vulnerabilità segnalata ha dimostrato che Envoy non decodifica le sequenze di barre %2F e %5C con codifica nei percorsi degli URL HTTP nelle versioni 1.18.2 e precedenti di Envoy. Inoltre, alcuni prodotti basati su Envoy non attivano i controlli di normalizzazione dei percorsi. Un utente malintenzionato remoto potrebbe creare un percorso con barre oblique con codifica di escape (ad esempio /something%2F..%2Fadmin,) per bypassare il controllo dell'accesso dell'accesso (ad esempio un blocco su /admin). Un server di backend potrebbe quindi decodificare le sequenze di barre oblique e normalizzare il percorso per fornire all'utente malintenzionato l'accesso oltre l'ambito previsto dal criterio di controllo dell'accesso dell'accesso.

Che cosa devo fare?

Se i server di backend trattano / e %2F o \ e %5C in modo intercambiabile e viene configurata una corrispondenza basata su percorsi URL, ti consigliamo di riconfigurare il server di backend in modo da non trattare \ e %2F o \ e %5C in modo intercambiabile, se possibile.

Quali cambiamenti comportamentali sono stati introdotti?

Le opzioni normalize_path e unisci barre adiacenti di Envoy sono state abilitate per risolvere altre vulnerabilità comuni di confusione dei percorsi nei prodotti basati su Envoy.

Alta

 CVE-2021-29492

GCP-2021-004

Pubblicato: 06/05/2021

Descrizione

Descrizione Gravità Note

I progetti Envoy e Istio hanno recentemente annunciato diverse nuove vulnerabilità di sicurezza (CVE-2021-28683, CVE-2021-28682 e CVE-2021-29258), che potrebbero consentire a un malintenzionato di arrestare in modo anomalo Envoy.

I cluster Google Kubernetes Engine non eseguono Istio per impostazione predefinita e non sono vulnerabili. Se Istio è stato installato in un cluster e configurato per esporre i servizi a internet, questi servizi potrebbero essere vulnerabili al rifiuto di servizio.

Google Distributed Cloud Virtual for Bare Metal e GKE su VMware utilizzano Envoy per impostazione predefinita per Ingress, pertanto i servizi Ingress potrebbero essere vulnerabili al rifiuto di servizio.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio

GCP-2021-003

Pubblicato il: 19/04/2021

Descrizione

Descrizione Gravità Note

Di recente il progetto Kubernetes ha annunciato una nuova vulnerabilità di sicurezza, CVE-2021-25735, che potrebbe consentire agli aggiornamenti dei nodi di bypassare un webhook di ammissione con convalida.

In uno scenario in cui un utente malintenzionato dispone di privilegi sufficienti e in cui è implementato un webhook di ammissione con convalida che utilizza vecchie proprietà dell'oggetto Node (ad esempio i campi in Node.NodeSpec), l'utente malintenzionato potrebbe aggiornare le proprietà di un nodo che potrebbero portare alla compromissione di un cluster. Nessuno dei criteri applicati dai controller di ammissione integrati GKE e Kubernetes è interessato, ma consigliamo ai clienti di controllare eventuali altri webhook di ammissione che hanno installato.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Medio

CVE-2021-25735

GCP-2021-002

Pubblicato: 05/03/2021

Descrizione

Descrizione Gravità Note

In base all'avviso di sicurezza VMware VMSA-2021-0002, VMware ha ricevuto report di molteplici vulnerabilità in VMware ESXi e vSphere Client (HTML5). VMware ha reso disponibili aggiornamenti per correggere queste vulnerabilità nei prodotti VMware interessati.

Abbiamo applicato le soluzioni alternative ufficialmente documentate per lo stack vSphere in base all'avviso sulla sicurezza di VMware. Questo aggiornamento risolve le vulnerabilità di sicurezza descritte in CVE-2021-21972, CVE-2021-21973 e CVE-2021-21974.

Impatto di VMware Engine

Dai nostri accertamenti è emerso che nessun cliente è stato interessato.

Che cosa devo fare?

Poiché i cluster VMware Engine non sono interessati da questa vulnerabilità, non sono necessarie ulteriori azioni.

 Critico

GCP-2021-001

Pubblicato: 28/01/2021

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità nell'utilità Linux sudo, descritta in CVE-2021-3156, che potrebbe consentire a un utente malintenzionato con accesso alla shell locale senza privilegi su un sistema con sudo installato di aumentare i privilegi per ottenere il root sul sistema.

L'infrastruttura sottostante che esegue Compute Engine non è interessata da questa vulnerabilità.

Tutti i cluster Google Kubernetes Engine (GKE), GKE on VMware, GKE on AWS e Google Distributed Cloud Virtual for Bare Metal non sono interessati da questa vulnerabilità.

Per istruzioni e ulteriori dettagli, consulta i seguenti bollettini sulla sicurezza:

Nessuno CVE-2021-3156

GCP-2020-015

Pubblicato il: 07/12/2020
Ultimo aggiornamento: 22/12/2020

Descrizione

Descrizione Gravità Note

Ultimo aggiornamento: 22/12/2021 Il comando per GKE nella sezione seguente dovrebbe utilizzare gcloud beta anziché il comando gcloud. 

gcloud container clusters update –no-enable-service-externalips
Aggiornamento: 15/12/2021 Per GKE, è ora disponibile la seguente mitigazione:
  1. A partire dalla versione 1.21 di GKE, i servizi con indirizzi IP esterni sono bloccati da un DenyServiceExternalIPs controller di ammissione abilitato per impostazione predefinita per i nuovi cluster.
  2. I clienti che eseguono l'upgrade alla versione 1.21 di GKE possono bloccare i servizi con IPvesterni utilizzando il seguente comando: 
    gcloud container clusters update –no-enable-service-externalips

Per ulteriori informazioni, consulta Rafforzamento della sicurezza del cluster.

Il progetto Kubernetes ha recentemente scoperto una nuova vulnerabilità di sicurezza, CVE-2020-8554, che potrebbe consentire a un utente malintenzionato che ha ottenuto le autorizzazioni per creare un servizio Kubernetes di tipo LoadBalancer o ClusterIP di intercettare il traffico di rete proveniente da altri pod nel cluster. Questa vulnerabilità da sola non concede all'utente malintenzionato le autorizzazioni per creare un servizio Kubernetes.

Tutti i cluster Google Kubernetes Engine (GKE), GKE on VMware e GKE on AWS sono interessati da questa vulnerabilità.

Che cosa devo fare?

Per istruzioni e ulteriori dettagli, consulta:

Medio

 CVE-2020-8554

GCP-2020-014

Pubblicato il: 20/10/2020
Ultimo aggiornamento: 20/10/2020

Descrizione

Descrizione Gravità Note

Il progetto Kubernetes ha recentemente scoperto diversi problemi che consentono l'esposizione di dati riservati quando sono attivate le opzioni di registrazione dettagliata. I problemi sono i seguenti:

  • CVE-2020-8563: fughe di secret nei log per il provider vSphere kube-controller-manager
  • CVE-2020-8564: i secret di configurazione di Docker sono stati divulgati quando il file non è formattato correttamente e il livello di log è >= 4
  • CVE-2020-8565: la correzione incompleta per CVE-2019-11250 in Kubernetes consente la fuga di token nei log quando il livello logLevel è >= 9. Scoperto da GKE Security.
  • CVE-2020-8566: i segreti amministratore Ceph RBD sono esposti nei log quando il livello log è >= 4

Che cosa devo fare?

Non sono necessarie ulteriori azioni a causa dei livelli di logging della verbosità predefiniti di GKE.

Nessuno

Impatto su Google Cloud

Di seguito sono elencati i dettagli per i singoli prodotti.

Prodotto

Impatto

Google Kubernetes Engine (GKE)

Google Kubernetes Engine (GKE) non è interessato.

GKE On-Prem

GKE On-Prem non è interessato.

GKE su AWS

GKE su AWS non è interessato.

GCP-2020-013

Pubblicato il: 29/09/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-1472: una vulnerabilità in Windows Server consente agli utenti malintenzionati di utilizzare il protocollo remoto Netlogon per eseguire un'applicazione creata appositamente su un dispositivo della rete.

Punteggio di base NVD: 10 (critico)

CVE-2020-1472

Per ulteriori informazioni, consulta la divulgazione di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-1472

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server devono assicurarsi che le loro istanze siano state aggiornate con la patch Windows più recente o utilizzare le immagini di Windows Server pubblicate dopo il 17-08-2020 (v20200813 o superiore).

Google Kubernetes Engine

CVE-2020-1472

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

Tutti i clienti che ospitano controller di dominio nei propri nodi GKE Windows Server devono assicurarsi che sia i nodi sia i carichi di lavoro containerizzati in esecuzione su questi nodi dispongano dell'immagine del nodo Windows più recente, quando è disponibile. Una nuova versione dell'immagine dei nodi verrà annunciata nelle note di rilascio di GKE a ottobre.

Servizio gestito per Microsoft Active Directory

CVE-2020-1472

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

Il patch di agosto rilasciato da Microsoft che include correzioni al protocollo NetLogon è stato applicato a tutti i controller di dominio Microsoft Active Directory gestiti. Questa patch fornisce funzionalità per proteggersi da potenziali sfruttamenti. L'applicazione tempestiva delle patch è uno dei principali vantaggi dell'utilizzo di Managed Service for Microsoft Active Directory. Tutti i clienti che eseguono manualmente Microsoft Active Directory (e non utilizzano il servizio gestito di Google Cloud) devono assicurarsi che le loro istanze dispongano della patch Windows più recente o utilizzino le immagini di Windows Server.

Google Workspace

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente standard di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente flessibile di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Run

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Funzioni Cloud Run

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Composer

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataflow

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataproc

Non è necessario alcun intervento da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud SQL

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

GCP-2020-012

Pubblicato il 14/09/2020
Ultimo aggiornamento: 17/09/2020

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-14386, che potrebbe consentire di container escape per ottenere privilegi di utente root sul nodo host.

Sono interessati tutti i nodi GKE. I pod in esecuzione in GKE Sandbox non sono in grado di sfruttare questa vulnerabilità.

Per istruzioni e ulteriori dettagli, consulta:


Quale vulnerabilità viene affrontata da questa patch?

La patch attenua la seguente vulnerabilità:

La vulnerabilità CVE-2020-14386, che consente ai container con CAP_NET_RAW
di scrivere da 1 a 10 byte di memoria del kernel, nonché di uscire dal container e ottenere privilegi di utente root sul nodo host. Questa è classificata come vulnerabilità di gravità Alta.

Alta

CVE-2020-14386

GCP-2020-011

Pubblicato il: 24/07/2020

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta una vulnerabilità di rete, CVE-2020-8558, in Kubernetes. A volte i servizi comunicano con altre applicazioni in esecuzione nello stesso pod utilizzando l'interfaccia loopback locale (127.0.0.1). Questa vulnerabilità consente a un utente malintenzionato con accesso alla rete del cluster di inviare traffico all'interfaccia loopback di pod e nodi adiacenti. I servizi che si basano sull'interfaccia di loopback non accessibili all'esterno del pod potrebbero essere sfruttati.

Per istruzioni e ulteriori dettagli, consulta:

Basso (GKE e GKE su AWS),
medio (GKE su VMware)

CVE-2020-8558

GCP-2020-010

Pubblicato il: 27/07/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-1350: i server Windows che fungono da server DNS possono essere sfruttati per eseguire codice non attendibile dall'account di sistema locale.

Punteggio base NVD: 10,0 (critico)

CVE-2020-1350

Per ulteriori informazioni, consulta l'informativa di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-1350

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano macchine virtuali Compute Engine che eseguono Windows Server in una capacità di server DNS devono assicurarsi che le loro istanze dispongano dell'ultima patch di Windows o utilizzare le immagini di Windows Server fornite dal 14/07/2020.

Google Kubernetes Engine

CVE-2020-1350

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

I clienti che utilizzano GKE con un nodo Windows Server in una capacità di server DNS devono aggiornare manualmente i nodi e i carichi di lavoro containerizzati in esecuzione su questi nodi a una versione di Windows Server contenente la correzione.

Managed Service for Microsoft Active Directory

CVE-2020-1350

Per la maggior parte dei clienti non sono richieste ulteriori azioni.

Tutti i domini Microsoft AD gestiti sono stati aggiornati automaticamente con l'immagine con patch. Tutti i clienti che eseguono manualmente Microsoft Active Directory (e non utilizzano Managed Microsoft AD) devono assicurarsi che le loro istanze dispongano della patch Windows più recente o utilizzino le immagini di Windows Server fornite dal 14/07/2020.

Google Workspace

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente standard di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente flessibile di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Run

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Funzioni Cloud Run

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Composer

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataflow

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataproc

Non è necessario alcun intervento da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud SQL

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

GCP-2020-009

Pubblicato il: 15/07/2020

Descrizione

Descrizione Gravità Note

Di recente, in Kubernetes è stata scoperta una vulnerabilità di escalation dei privilegi, CVE-2020-8559. Questa vulnerabilità consente a un malintenzionato che ha già compromesso un nodo di eseguire un comando in qualsiasi pod del cluster. In questo modo, l'utente malintenzionato può utilizzare il nodo già compromesso per compromettere altri nodi e potenzialmente leggere informazioni o causare azioni distruttive.

Tieni presente che, affinché un utente malintenzionato possa sfruttare questa vulnerabilità, un nodo nel cluster deve essere già stato compromesso. Questa vulnerabilità, da sola, non comprometterà i nodi nel tuo cluster.

Per istruzioni e ulteriori dettagli, consulta:

Medio

CVE-2020-8559

GCP-2020-008

Pubblicato il: 19/06/2020

Descrizione

Descrizione Gravità Note

Descrizione

Le VM in cui è abilitato OS Login potrebbero essere soggette a vulnerabilità di riassegnazione dei privilegi. Queste vulnerabilità consentono agli utenti a cui sono state concesse le autorizzazioni di OS Login (ma non l'accesso amministrativo) di eseguire la riassegnazione dell'accesso come utente root nella VM.

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di Compute Engine.

 Alta

GCP-2020-007

Pubblicato il: 01/06/2020

Descrizione

Descrizione Gravità Note

Di recente è stata scoperta in Kubernetes la vulnerabilità di falsificazione delle richieste lato server (SSRF), CVE-2020-8555, che consente a determinati utenti autorizzati di divulgare fino a 500 byte di informazioni sensibili dalla rete host del piano di controllo. Il piano di controllo Google Kubernetes Engine (GKE) utilizza controller di Kubernetes e, pertanto, è interessato da questa vulnerabilità. Ti consigliamo di eseguire l'upgrade del piano di controllo alla versione patch più recente. Non è necessario eseguire l'upgrade dei nodi.

Per istruzioni e ulteriori dettagli, consulta:

Medio

CVE-2020-8555

GCP-2020-006

Pubblicato il: 01/06/2020

Descrizione

Descrizione Gravità Note

Kubernetes ha divulgato una vulnerabilità che consente a un container con privilegi di reindirizzare il traffico del nodo a un altro container. Questo attacco non consente di leggere o modificare il traffico TLS/SSH reciproco, ad esempio tra kubelet e server API, o il traffico proveniente da applicazioni che utilizzano mTLS. Tutti i nodi di Google Kubernetes Engine (GKE) sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch.

Per istruzioni e ulteriori dettagli, consulta:

Medio

Problema Kubernetes 91507

GCP-2020-005

Pubblicato il: 07/05/2020

Descrizione

Vulnerabilità

Gravità

CVE

Recentemente è stata scoperta una vulnerabilità nel kernel Linux, descritta in CVE-2020-8835, che consente di uscire dai limiti del container per ottenere privilegi di utente root sul nodo host.

I nodi Google Kubernetes Engine (GKE) Ubuntu che eseguono GKE 1.16 o 1.17 sono interessati da questa vulnerabilità e ti consigliamo di eseguire l'upgrade alla versione più recente della patch il prima possibile.

Consulta il Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli.

Alta

CVE-2020-8835

GCP-2020-004

Pubblicato il: 31/03/2020
Aggiornamento: 31/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11254: si tratta di una vulnerabilità di tipo Denial of Service (DoS) che interessa il server API.

Medio

CVE-2019-11254

Per istruzioni e ulteriori dettagli, consulta il bollettino sulla sicurezza di GKE on VMware.

GCP-2020-003

Pubblicato il: 31/03/2020
Aggiornamento: 31/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11254: si tratta di una vulnerabilità DoS (Denial of Service) che influisce sul server API.

Medio

CVE-2019-11254

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

GCP-2020-002

Pubblicato il: 23/03/2020
Aggiornamento: 23/03/2020

Descrizione

Kubernetes ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-8551: si tratta di una vulnerabilità di tipo Denial of Service (DoS) che interessa kubelet.

Medio

CVE-2020-8551

CVE-2020-8552: si tratta di una vulnerabilità di tipo Denial of Service (DoS) che interessa il server API.

Medio

CVE-2020-8552

Per istruzioni e ulteriori dettagli, consulta il Bollettino sulla sicurezza di GKE.

GCP-2020-001

Pubblicato il: 21/01/2020
Aggiornamento: 21/01/2020

Descrizione

Microsoft ha divulgato la seguente vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2020-0601: questa vulnerabilità è nota anche come vulnerabilità di spoofing dell'API Crypto di Windows. Potrebbe essere sfruttato per far apparire attendibili gli eseguibili dannosi o consentire all'aggressore di eseguire attacchi man-in-the-middle e decriptare le informazioni riservate sulle connessioni degli utenti al software interessato.

Punteggio base NVD: 8,1 (Alta)

CVE-2020-0601

Per ulteriori informazioni, consulta la divulgazione di Microsoft.

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google non è interessata da questa vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2020-0601

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti che utilizzano macchine virtuali Compute Engine con Windows Server devono assicurarsi che le loro istanze dispongano dell'ultima patch di Windows o utilizzare le immagini di Windows Server fornite dal 15/01/2020. Per ulteriori dettagli, consulta il bollettino sulla sicurezza di Compute Engine.

Google Kubernetes Engine

CVE-2020-0601

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

Per mitigare questa vulnerabilità, i clienti che utilizzano GKE con nodi Windows Server devono essere aggiornati alle versioni con patch. Consulta il Bollettino sulla sicurezza di GKE per istruzioni e ulteriori dettagli.

Managed Service for Microsoft Active Directory

CVE-2020-0601

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

Tutti i domini Microsoft AD gestiti sono stati aggiornati automaticamente con l'immagine con patch. Tutti i clienti che eseguono manualmente Microsoft Active Directory (e non utilizzano Managed Microsoft AD) devono assicurarsi che le loro istanze dispongano della patch Windows più recente o utilizzare le immagini di Windows Server fornite dal 15/01/2020.

Google Workspace

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente standard di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Ambiente flessibile di App Engine

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Run

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Funzioni Cloud Run

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud Composer

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataflow

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Dataproc

Non è necessario alcun intervento da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

Cloud SQL

Non è richiesta alcuna azione da parte del cliente.

Questo servizio non è interessato da questa vulnerabilità.

GCP-2019-001

Pubblicato il: 12/11/2019
Aggiornamento: 12/11/2019

Descrizione

Intel ha divulgato le seguenti vulnerabilità:

Vulnerabilità

Gravità

CVE

CVE-2019-11135 — Questa vulnerabilità, indicata come TSX Async Abort (TAA) può essere utilizzata per sfruttare l'esecuzione speculativa in una transazione TSX. Questa vulnerabilità può determinare un'esposizione dei dati attraverso le stesse strutture di dati della microarchitettura esposte dal Microarchitectural Data Sampling (MDS).

Medio

CVE-2019-11135

CVE-2018-12207 — Questa è una vulnerabilità di tipo Denial of Service (DoS) che interessa le macchine virtuali host (non ospiti). Questo problema è noto come "Machine Check Error on Page Size Change".

Medio

CVE-2018-12207

Per ulteriori informazioni, consulta le divulgazioni di Intel:

Impatto su Google Cloud

L'infrastruttura che ospita Google Cloud e i prodotti Google è protetta da queste vulnerabilità. Di seguito sono elencati ulteriori dettagli per i singoli prodotti.

Prodotto

Impatto

Compute Engine

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti N2, C2 o M2 che eseguono codice non attendibile nei propri servizi multi-tenant all'interno delle macchine virtuali Compute Engine devono arrestare e avviare le loro VM per assicurarsi che dispongano delle più recenti misure di mitigazione per la sicurezza.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Google Kubernetes Engine

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

Se utilizzi pool di nodi con nodi N2, M2 o C2, e questi nodi eseguono codice non attendibile nei propri cluster GKE multi-tenant, devi riavviare i nodi. Se vuoi riavviare tutti i nodi del tuo pool di nodi, esegui l'upgrade del pool di nodi interessato.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Ambiente standard di App Engine

Non è necessario alcun intervento aggiuntivo.

Ambiente flessibile di App Engine

CVE-2019-11135

Non è necessario alcun intervento aggiuntivo.

I clienti devono rivedere le best practice di Intel relative alla condivisione a livello di applicazione che può avvenire fra gli hyperthread all'interno di una VM flessibile.

CVE-2018-12207

Non è necessario alcun intervento aggiuntivo.

Cloud Run

Non è necessario alcun intervento aggiuntivo.

Funzioni Cloud Run

Non è necessario alcun intervento aggiuntivo.

Cloud Composer

Non è necessario alcun intervento aggiuntivo.

Dataflow

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti Dataflow che eseguono numerosi carichi di lavoro non attendibili su VM N2, C2 o M2 di Compute Engine gestite da Dataflow, e che sono preoccupati di attacchi fra i guest, devono prendere in considerazione il riavvio di tutte le pipeline di gestione dei flussi attualmente in esecuzione. Facoltativamente, le pipeline batch possono essere annullate e rieseguite. Non è necessario alcun intervento sulle pipeline avviate dopo la data odierna.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Dataproc

CVE-2019-11135

Per la maggior parte dei clienti non è necessario alcun intervento aggiuntivo.

I clienti Cloud Dataproc che eseguono più carichi di lavoro non attendibili sullo stesso cluster Cloud Dataproc eseguito su VM N2, C2 o M2 di Compute Engine, e che sono preoccupati di attacchi fra i guest, devono rieseguire il deployment dei cluster.

CVE-2018-12207

Per tutti i clienti non è necessario alcun intervento aggiuntivo.

Cloud SQL

Non è necessario alcun intervento aggiuntivo.