Die folgenden Sicherheitsbulletins beziehen sich auf Google Cloud-Produkte.
Verwenden Sie diesen XML-Feed, um Sicherheitsbulletins für diese Seite zu abonnieren.
GCP-2024-045
Veröffentlicht: 17.07.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26925 |
GCP-2024-044
Veröffentlicht: 16.07.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-36972 |
GCP-2024-043
Veröffentlicht: 16.07.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26921 |
GCP-2024-042
Veröffentlicht: 15.07.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26809 |
GCP-2024-041
Veröffentlicht: 08.07.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch |
GCP-2024-040
Veröffentlicht: 01.07.2024
Aktualisiert:16.07.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierungen vom 16.07.2024: Einige Kunden mit serverlosem VPC-Zugriff sind möglicherweise von eine Sicherheitslücke in OpenSSH (CVE-2024-6387) Im Falle einer erfolgreichen könnte ein nicht authentifizierter Remote-Angriff als Root auf der virtuellen Zielmaschine. Ausbeutung ist als schwierig eingestuft wird. Kunden können z. B. nicht auf die VMs und die VMs keine öffentlichen IP-Adressen haben. Uns ist keine Ausbeutung von Was soll ich tun? Bereitstellungen des Serverloser VPC-Zugriff wurden automatisch wenn möglich von Google aktualisiert werden. Sie sollten jedoch überprüfen, Der von Google verwaltete Dienst-Agent hat die erforderliche Rolle. Falls nicht, ist Ihr Connector für Serverloser VPC-Zugriff möglicherweise trotzdem angreifbar ist. Wir empfehlen, zu ausgehendem Direct-VPC-Traffic zu migrieren oder einen neuen Connector bereitzustellen und des alten Connectors, um sicherzustellen, dass Sie das erforderliche Update korrigieren. Update vom 11.07.2024:Patchversionen für hinzugefügt GDC-Software für VMware, GKE on AWS und GKE on Azure Weitere Informationen finden Sie in der GKE finden Sie in den folgenden Bulletins:
Aktualisierung vom 10.07.2024:
Aktualisierungen vom 09.07.2024: Einige Kunden der flexiblen App Engine-Umgebung sind möglicherweise von eine Sicherheitslücke in OpenSSH (CVE-2024-6387) Im Falle einer erfolgreichen könnte ein nicht authentifizierter Remote-Angriff als Root auf der virtuellen Zielmaschine. Was soll ich tun? Google hat Bereitstellungen in flexiblen Umgebungen bereits aktualisiert automatisch nach Möglichkeit. Einige Kunden, die den von Google verwalteten Dienst-Agent deaktiviert haben, oder Änderungen an den Google Cloud APIs oder anderen Standardkonfigurationen vorgenommen. konnte nicht aktualisiert werden und ist möglicherweise immer noch anfällig. Sie sollten eine neue Version bereitstellen deiner App, um das Update mit der Fehlerkorrektur zu übernehmen. Beachten Sie, dass aktualisierte Bereitstellungen die SSH-Version Welche Sicherheitslücken werden behoben? Die Sicherheitslücke CVE-2024-6387, über die ein nicht authentifiziertes Remote-Projekt möglich ist. um beliebigen Code als Root auf dem Zielcomputer auszuführen. Aktualisierungen vom 08.07.2024: In Google Compute Engine ausgeführte Dataproc-Cluster Image-Version 2.2 (alle Betriebssysteme) und 2.1 (nur Debian) sind von einer Sicherheitslücke in OpenSSH (CVE-2024-6387) betroffen, könnte ein nicht authentifizierter Remote-Angriff auf dem Zielcomputer beliebigen Code als Root ausführen. Dataproc in Google Compute Engine-Image-Versionen 2.0 und 1.5 und Dataproc-Images Version 2.1 werden nicht auf Debian, sind nicht betroffen. Dataproc-Cluster mit Personal Bei aktivierter Authentifizierung ist dies nicht betroffen. Serverloses Dataproc ist ebenfalls nicht betroffen. Was soll ich tun? Bitte aktualisieren Sie Ihre Dataproc-Cluster auf Google Compute Engine auf eine der folgenden Versionen:
Falls Sie Ihre Dataproc-Cluster nicht auf
Version oben verwenden, empfehlen wir, die Initialisierung
an diesem Ort verfügbar:
Bitte folgen Sie dieser Anleitung, um angeben Initialisierungsaktionen für Dataproc Beachten Sie, dass muss die Initialisierungsaktion auf jedem Knoten ausgeführt werden. (Master und Worker) für bereits vorhandene Cluster. Aktualisierungen vom 03.07.2024:
Aktualisierungen vom 02.07.2024:
eine Sicherheitslücke bei Remote-Codeausführung, CVE-2024-6387 wurde kürzlich in OpenSSH entdeckt. Die Sicherheitslücke nutzt eine Race-Bedingung, können verwendet werden, um Zugriff auf eine Remote-Shell zu erhalten, damit Angreifer Root-Zugriff erhalten. Zum Zeitpunkt der Veröffentlichung war die Ausbeutung schwierig und dauerte mehrere Stunden pro angegriffener Maschine. Uns sind keine Ausnutzungsversuche bekannt. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:
|
Kritisch | CVE-2024-6387 |
GCP-2024-039
Veröffentlicht: 28.06.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26923 |
GCP-2024-038
Veröffentlicht: 26.06.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26924 |
GCP-2024-037
Veröffentlicht: 18.06.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
VMware legte mehrere Sicherheitslücken in VMSA-2024-0012 offen die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden. Auswirkungen der Google Cloud VMware Engine
Wie gehe ich am besten vor?Derzeit sind keine weiteren Maßnahmen erforderlich. |
Kritisch |
GCP-2024-036
Veröffentlicht: 18.06.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26584 |
GCP-2024-035
Veröffentlicht: 12.06.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26584 |
GCP-2024-034
Veröffentlicht: 11.06.2024
Aktualisiert:10.07.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 10.07.2024:Patchversionen für hinzugefügt Container-Optimized OS-Knoten mit Nebenversionen 1.26 und 1.27 und Patchversionen für Ubuntu-Knoten hinzugefügt. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26583 |
GCP-2024-033
Veröffentlicht: 10.06.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2022-23222 |
GCP-2024-032
Veröffentlicht: 04.06.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden CVEs machen Cloud Service Mesh aus ausnutzbaren Sicherheitslücken aus:
Eine Anleitung und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin. |
Hoch |
GCP-2024-031
Veröffentlicht: 24.05.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die neue Sicherheitslücke (CVE-2024-4323) wurde in Fluent Bit entdeckt die zu einer Remote-Codeausführung führen könnte. Fluent Bit-Versionen 2.0.7 bis 3.0.3. GKE, GKE on VMware, GKE on AWS, GKE on Azure und GKE on Bare Metal verwenden keinen angreifbare Version von Fluent Bit aus und sind nicht betroffen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Keine | CVE-2024-4323 |
GCP-2024-030
Veröffentlicht: 15.05.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-52620 |
GCP-2024-029
Veröffentlicht: 14.05.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26642 |
GCP-2024-028
Veröffentlicht: 13.05.2024
Aktualisiert:22.05.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 22. Mai 2024:Patchversionen für hinzugefügt Ubuntu Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26581 |
GCP-2024-027
Veröffentlicht: 08.05.2024
Aktualisiert:09.05.2024, 15.05.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 15. Mai 2024:Patchversionen für hinzugefügt GKE-Ubuntu-Knotenpools. Aktualisierung vom 09.05.2024:Schweregrad von „Mittel“ korrigiert auf „Hoch“ gesetzt und verdeutlicht, dass GKE Autopilot Cluster in der Standardkonfiguration sind nicht betroffen. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26808 |
GCP-2024-026
Veröffentlicht: 07.05.2024
Aktualisiert:09.05.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 09.05.2024:Schweregrad von „Mittel“ korrigiert auf „Hoch“ setzen. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26643 |
GCP-2024-025
Veröffentlicht: 26.04.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Looker hat Sicherheitslücken behoben, die von einem externen Forscher über das Google- und Alphabet Vulnerability Reward Program (VRP)-Programm gemeldet wurden, fand aber keine Hinweise auf eine Ausnutzung. Diese Probleme sind jetzt behoben und es sind keine Nutzeraktionen für von Looker gehostete Kunden auf Looker (Google Cloud Core) und Looker (Original) erforderlich. Bei selbstgehosteten Looker-Instanzen wird empfohlen, auf die neueste unterstützte Version zu aktualisieren. Was soll ich tun? Von Looker gehostete Instanzen: Looker (Google Cloud Core) und Looker (Original)-Instanzen Kunden müssen nichts weiter tun. Nur selbst gehostete Looker-Instanzen Wenn Ihre Looker-Instanz selbst gehostet ist, empfehlen wir ein Upgrade Ihrer Looker-Instanzen auf eine der folgenden Versionen:
Wie wurde das Problem behoben? Google hat den direkten Administratorzugriff auf die interne Datenbank von der Looker-Anwendung deaktiviert, erweiterte Berechtigungen entfernt, die den mandantenübergreifenden Zugriff ermöglichten, und die offengelegten Secrets rotiert. Außerdem haben wir Sicherheitslücken beim Pfaddurchlauf gepatcht, durch die möglicherweise Anmeldedaten für Dienstkonten preisgegeben wurden. Außerdem führen wir eine gründliche Überprüfung unseres Codes und unserer Systeme durch, um ähnliche potenzielle Schwachstellen zu identifizieren und zu beheben. |
Kritisch |
GCP-2024-024
Veröffentlicht: 25.04.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-26585 |
GCP-2024-023
Veröffentlicht: 24.04.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden CVEs machen Cloud Service Mesh aus ausnutzbaren Sicherheitslücken aus:
Eine Anleitung und weitere Informationen finden Sie im Sicherheitsbulletin für Cloud Service Mesh. |
Hoch |
GCP-2024-022
Veröffentlicht: 03.04.2024
Aktualisiert:17.07.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 17.07.2024:Patchversionen für GKE on VMware wurden hinzugefügt. Update vom 09.07.2024:Patchversionen für GKE on Bare Metal hinzugefügt Aktualisierung vom 24. April 2024:Patchversionen für GKE wurden hinzugefügt. Eine DoS-Sicherheitslücke (Denial of Service) (CVE-2023-45288) wurde kürzlich in mehreren Implementierungen des HTTP/2-Protokolls entdeckt, einschließlich des von Kubernetes verwendeten HTTP-Servers golang. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-45288 |
GCP-2024-021
Veröffentlicht: 03.04.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Compute Engine ist nicht betroffen von CVE-2024-3094 Dies betrifft die Versionen 5.6.0 und 5.6.1 des xz-utils-Pakets im liblzma-Bibliothek zu installieren und das OpenSSH-Dienstprogramm zu kompromittieren. Weitere Informationen finden Sie in der Compute Engine-Sicherheitsbulletin. |
Mittel | CVE-2024-3094 |
GCP-2024-020
Veröffentlicht: 02.04.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Forscher haben eine Sicherheitslücke entdeckt (CVE-2023-48022) auf Ray. Ray ist ein Drittanbieter, Open-Source-Tool für KI-Arbeitslasten. Da Ray keine Authentifizierung, Bedrohungsakteure können Code per Fernzugriff ausführen durch das Senden von Jobs an öffentlich zugängliche Instanzen. Die Sicherheitslücke wurde angefochten von Anyscale, dem Entwickler von Ray. Ray behält seine Funktionen bei sind eine beabsichtigte, zentrale Produktfunktion und diese Sicherheit muss stattdessen außerhalb eines Ray-Clusters implementiert werden, des Ray-Clusters zu einer Manipulation führen. Basierend auf der Antwort wird diese CVE angefochten und wird möglicherweise nicht in das Scannen auf Sicherheitslücken. Unabhängig davon werden sie aktiv in und die Nutzer sollten ihre Nutzung entsprechend konfigurieren. weiter unten. Was soll ich tun? Ray folgen beste Best Practices und Richtlinien, einschließlich der Ausführung von vertrauenswürdigem Code vertrauenswürdigen Netzwerken, um Ihre Ray-Arbeitslasten zu schützen. Bereitstellung von ray.io in Cloud-Instanzen von Kunden unterliegt dem Modell der geteilten Verantwortung. Google Kubernetes Engine-Sicherheit (GKE) hat eine Blog zur Härtung von Ray in GKE. Weitere Informationen zu Authentifizierungs- und für die Ray-Dienste erhalten Sie in der Identity-Aware Proxy (IAP) Dokumentation. GKE-Nutzer können IAP-Käufe danach Anleitung oder indem Sie Terraform-Module wiederverwenden, die im Blog. |
Hoch | CVE-2023-48022 |
GCP-2024-018
Veröffentlicht: 12.03.2024
Aktualisiert:04.04.2024, 06.05.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 06.05.2024:Patchversionen für GKE-Ubuntu-Knotenpools wurden hinzugefügt. Update vom 04.04.2024: Korrigierte Mindestversionen für GKE-Knotenpools mit Container-Optimized OS. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-1085 |
GCP-2024-017
Veröffentlicht: 06.03.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-3611 |
GCP-2024-016
Veröffentlicht: 05.03.2024
Beschreibung | Schweregrad | Hinweise |
---|---|---|
VMware legte in VMSA-2024-0006 mehrere Sicherheitslücken offen, wirken sich auf ESXi-Komponenten aus, die in Kundenumgebungen bereitgestellt werden. Auswirkungen der Google Cloud VMware EngineIhre privaten Clouds wurden aktualisiert, um die Sicherheitslücke zu schließen. Wie gehe ich am besten vor?Es besteht von deiner Seite kein Handlungsbedarf. |
Kritisch |
GCP-2024-014
Veröffentlicht: 26.02.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-3776 |
GCP-2024-013
Veröffentlicht: 27.02.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-3610 |
GCP-2024-012
Veröffentlicht: 20.02.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-0193 |
GCP-2024-011
Veröffentlicht: 15.02.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-6932 |
GCP-2024-010
Veröffentlicht: 14.02.2024
Aktualisiert:17.04.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 17.04.2024:Patchversionen für GKE on VMware wurden hinzugefügt. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-6931 |
GCP-2024-009
Veröffentlicht: 13.02.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Am 13. Februar 2024 hat AMD zwei Sicherheitslücken bekannt gegeben, die SEV-SNP betreffen. auf EPYC-CPUs basierend auf „Mailand“ der dritten Generation und „Genoa“ der vierten Generation Zen-Kerne Die Sicherheitslücken ermöglichen privilegierten Angreifern Zugriff auf veraltete oder zu einem Verlust der Integrität der Gäste führen. Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um die Kunden zu schützen. Derzeit gibt es keine Hinweise auf Ausbeutung gefunden oder Google gemeldet wurden. Was soll ich tun? Kunden müssen nichts weiter tun. Die Korrekturen wurden bereits auf die Google-Serverflotte für Google Cloud, einschließlich Compute Engine. Weitere Informationen finden Sie in den AMD-Sicherheitshinweisen AMD-SN-3007. |
Mittel |
|
GCP-2024-008
Veröffentlicht: 12.02.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
CVE-2023-5528 ermöglicht es einem Angreifer, Pods und nichtflüchtige Volumes auf Windows-Knoten zu erstellen sodass die Ausweitung der Administratorberechtigungen auf diesen Knoten möglich ist. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-5528 |
GCP-2024-007
Veröffentlicht: 08.02.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden CVEs machen Cloud Service Mesh aus ausnutzbaren Sicherheitslücken aus:
Eine Anleitung und weitere Informationen finden Sie im Cloud Service Meshsecurity-Bulletin. |
Hoch |
GCP-2024-006
Veröffentlicht: 5.02.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Wenn ein Apigee API Management-Proxy eine Verbindung zu einem Zielendpunkt herstellt oder <ph type="x-smartling-placeholder"></ph> Zielserver durchgeführt wird, führt der Proxy keine Validierung des Hostnamens für Das Zertifikat, das standardmäßig vom Zielendpunkt oder Zielserver bereitgestellt wird. Wenn die Validierung des Hostnamens mit einer der folgenden Optionen nicht aktiviert ist, Bei Apigee-Proxys, die eine Verbindung zu einem Zielendpunkt oder Zielserver herstellen, besteht das Risiko eines Man-in-the-Middle-Angriffs durch einen autorisierten Nutzer. Weitere Informationen finden Sie unter TLS von Edge mit dem Back-End konfigurieren (Cloud und Private Cloud). Apigee-Proxy-Bereitstellungen auf den folgenden Apigee-Plattformen sind betroffen:
Eine Anleitung und weitere Informationen finden Sie im Apigee-Sicherheitsbulletin. |
Hoch |
GCP-2024-005
Veröffentlicht: 31.01.2024
Aktualisiert:02.04.2024, 06.05.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 06.05.2024: Patchversionen für GKE on AWS und GKE on Azure wurden hinzugefügt. Update vom 02.04.2024: Patchversionen für GKE on Bare Metal hinzugefügt Update vom 06.03.2024: Patchversionen für GKE on VMware hinzugefügt Update vom 28.02.2024: Patchversionen für Ubuntu hinzugefügt Aktualisierung vom 15.02.2024: Es wurde klargestellt, dass 1.25 und 1.26 Ubuntu-Patchversionen mit dem Update vom 14.02.2024 können zu Fehlern führen Knoten. Update vom 14.02.2024: Patchversionen für Ubuntu hinzugefügt Update vom 06.02.2024 : Patchversionen für Container-Optimized OS wurden hinzugefügt. Die Sicherheitslücke CVE-2024-21626 wurde in Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2024-21626 |
GCP-2024-004
Veröffentlicht: 24.01.2024
Aktualisiert:07.02.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 07.02.2024 : Patchversionen für Ubuntu wurden hinzugefügt. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-6817 |
GCP-2024-003
Veröffentlicht: 19.01.2024
Aktualisiert:26.01.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 26.01.2024:Wir haben die Anzahl der betroffenen Cluster und die Aktionen, die die wir ergriffen haben, um die Auswirkungen abzuschwächen. Weitere Informationen finden Sie im Sicherheitsbulletin GCP-2024-003. Es wurden mehrere Cluster identifiziert, in denen Nutzer Kubernetes
Berechtigungen für die Gruppe Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel |
GCP-2024-002
Veröffentlicht: 17.01.2024
Aktualisiert:20.02.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 20.02.2024:Patchversionen für GKE on VMware wurden hinzugefügt. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-6111 |
GCP-2024-001
Veröffentlicht: 09.01.2024Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Beim TianoCore EDK II-UEFI wurden mehrere Sicherheitslücken entdeckt Firmware-Version. Diese Firmware wird in Google Compute Engine-VMs verwendet. Wenn ausgenutzt, könnten diese eine Umgehung von Secure Boot ermöglichen, führt zu falschen Messwerten im Secure Boot-Prozess, einschließlich wenn sie in Shielded VMs verwendet werden. Wie gehe ich am besten vor?Sie müssen nichts unternehmen. Google hat diese Sicherheitslücke Compute Engine und alle VMs sind vor dieser Sicherheitslücke geschützt. Welche Sicherheitslücken werden mit diesem Patch behoben?Mit diesem Patch wurden die folgenden Sicherheitslücken behoben:
|
Mittel |
GCP-2023-051
Veröffentlicht: 28.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-3609 |
GCP-2023-050
Veröffentlicht: 27.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-3389 |
GCP-2023-049
Veröffentlicht: 20.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-3090 |
GCP-2023-048
Veröffentlicht: 15.12.2023
Aktualisiert:21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-3390 |
GCP-2023-047
Veröffentlicht: 14.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Angreifer, der den Fluent-Bit-Logging-Container manipuliert hat diese Zugriffsrechte mit den für die Verantwortlichkeit erforderlichen Berechtigungen Cloud Service Mesh (auf Clustern, für die es aktiviert ist) zum Eskalieren Berechtigungen für den Cluster. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel |
GCP-2023-046
Veröffentlicht: 22.11.2023
Aktualisiert:04.03.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 04.03.2024 : GKE-Versionen für GKE on VMware wurden hinzugefügt. Update vom 22.01.2024:Ubuntu-Patchversionen hinzugefügt Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-5717 |
GCP-2023-045
Veröffentlicht: 20.11.2023
Aktualisiert:21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-5197 |
GCP-2023-044
Veröffentlicht: 15.11.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Am 14. November hat AMD mehrere Sicherheitslücken bekannt gegeben, AMD-Server-CPUs Die Sicherheitslücken betreffen insbesondere EPYC-Server-CPUs. nutzt die Zen-Kerngeneration 2 „Rom“, 3. Generation „Mailand“, und Gen 4 „Genoa“. Google hat Korrekturen an den betroffenen Assets, einschließlich Google Cloud, vorgenommen, um sicherzustellen, dass Ihre Kunden bestmöglich geschützt sind. Zum jetzigen Zeitpunkt gibt es keine Hinweise auf eine Ausbeutung von Seiten. gefunden oder Google gemeldet. Was soll ich tun? Kunden müssen nichts weiter tun. Korrekturen wurden bereits auf den Google-Servern für Google vorgenommen Cloud, einschließlich Google Compute Engine. Welche Sicherheitslücken werden behoben? Mit diesem Patch wurden die folgenden Sicherheitslücken behoben:
Weitere Informationen finden Sie in der Sicherheitswarnung AMD-SN-3005: "AMD INVD Instruction Security Notice" von AMD. veröffentlicht als CacheWarp und AMD-SN-3002: "AMD Server Vulnerabilities – November" 2023“. |
Mittel |
GCP-2023-043
Veröffentlicht: 14.11.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Intel hat eine CPU-Sicherheitslücke in ausgewählten Prozessoren festgestellt. Google hat Maßnahmen ergriffen, um seine Server zu minimieren, einschließlich der Google Compute Engine für Google Cloud und ChromeOS-Geräte, um die Kunden zu schützen. Details zu Sicherheitslücken:
Was soll ich tun? Kunden müssen nichts weiter tun. Die von Intel für die betroffenen Prozessoren vorgesehene Entschärfung wurde auf alle Google-Server angewendet, einschließlich der Google Compute Engine für Google Cloud. Derzeit erfordert Google Distributed Cloud Edge ein Update vom OEM. Google korrigiert dieses Produkt, sobald das Update verfügbar ist, und dieses Bulletin wird entsprechend aktualisiert. Chrome OS-Geräte mit den betroffenen Prozessoren erhielten die Fehlerkorrektur automatisch im Rahmen der Versionen 119, 118 und 114 (LTS). Welche Sicherheitslücken werden behoben? CVE-2023-23583. Weitere Informationen finden Sie unter Intel Security Advisory INTEL-SA-00950. |
Hoch | CVE-2023-23583 |
GCP-2023-042
Veröffentlicht: 13.11.2023
Aktualisiert: 15.11.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 15.11.2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen müssen auf eine entsprechende Patchversion aktualisiert werden, GKE Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-4147 |
GCP-2023-041
Veröffentlicht: 08.11.2023
Aktualisiert:21.11.2023, 05.12.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass die GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Update vom 05.12.2023:Zusätzliche GKE-Versionen für Knotenpools mit Container-Optimized OS wurden hinzugefügt. Aktualisierung vom 21. November 2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen müssen auf eine entsprechende Patchversion aktualisiert werden, GKE Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-4004 |
GCP-2023-040
Veröffentlicht: 06.11.2023
Aktualisiert:21.11.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Aktualisierung vom 21. November 2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen müssen auf eine entsprechende Patchversion aktualisiert werden, GKE Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-4921 |
GCP-2023-039
Veröffentlicht: 06.11.2023
Aktualisiert : 21.11.2023, 16.11.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21. November 2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen müssen auf eine entsprechende Patchversion aktualisiert werden, GKE Update vom 16.11.2023:Die mit diesem Sicherheitsbulletin verbundene Sicherheitslücke ist CVE-2023-4622. CVE-2023-4623 wurde in einer früheren Version des Sicherheitsbulletins fälschlicherweise als Sicherheitslücke aufgeführt. Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-4622 |
GCP-2023-038
Veröffentlicht: 06.11.2023
Aktualisiert:21.11.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Aktualisierung vom 21. November 2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen müssen auf eine entsprechende Patchversion aktualisiert werden, GKE Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-4623 |
GCP-2023-037
Veröffentlicht: 06.11.2023
Aktualisiert:21.11.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Aktualisierung vom 21. November 2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen müssen auf eine entsprechende Patchversion aktualisiert werden, GKE Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-4015 |
GCP-2023-036
Veröffentlicht: 30. Oktober 2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Deep Learning VM Images ist ein Satz von vorgefertigten und sofort einsatzbereiten VM-Images mit einem Deep Learning Framework. Vor Kurzem wurde in der Funktion „ReadHuffmanCodes()“ der Bibliothek „libwebp“ eine Sicherheitslücke beim Schreiben außerhalb des Bereichs entdeckt. Dies kann sich auf Images auswirken, die diese Bibliothek verwenden. Google Cloud scannt seine öffentlich veröffentlichten Images kontinuierlich und aktualisiert die Pakete, damit gepatchte Distributionen in den neuesten Releases enthalten sind, die für die Kundenakzeptanz verfügbar sind. Deep Learning VM Images wurden aktualisiert, damit die neuesten VM-Images die gepatchten Distributionen enthalten. Kunden, die die neuesten VM-Images verwenden, sind von dieser Sicherheitslücke nicht betroffen. Was soll ich tun? Google Cloud-Kunden, die veröffentlichte VM-Images verwenden, sollten darauf achten, dass sie die neuesten Images verwenden und ihre Umgebungen gemäß dem Modell der geteilten Verantwortung auf dem neuesten Stand haben. CVE-2023-4863 könnte von einem Angreifer ausgenutzt werden, um beliebigen Code auszuführen. Diese Sicherheitslücke wurde in Google Chrome vor 116.0.5845.187 und in "libwebp" vor 1.3.2 gefunden und ist unter CVE-2023-4863 aufgeführt. |
Hoch | CVE-2023-4863 |
GCP-2023-035
Veröffentlicht: 26.10.2023
Aktualisiert:21.11.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Aktualisierung vom 21. November 2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen müssen auf eine entsprechende Patchversion aktualisiert werden, GKE Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-4206CVE-2023-4207, CVE-2023-4208, CVE-2023-4128 |
GCP-2023-034
Veröffentlicht: 25.10.2023
Aktualisiert:27.10.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
VMware nannte mehrere Sicherheitslücken in VMSA-2023-0023 die sich auf vCenter-Komponenten auswirken, die in Kundenumgebungen bereitgestellt werden. Auswirkungen von Cloud Customer Care
Wie gehe ich am besten vor?Derzeit sind keine weiteren Maßnahmen erforderlich. |
Kritisch | CVE-2023-34048,CVE-2023-34056 |
GCP-2023-033
Veröffentlicht: 24.10.2023
Aktualisiert:21.11.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht und GKE Sandbox-Arbeitslasten nicht betroffen sind. Aktualisierung vom 21. November 2023:Es wurde klargestellt, dass nur die aufgeführten Nebenversionen müssen auf eine entsprechende Patchversion aktualisiert werden, GKE Die folgenden Sicherheitslücken wurden im Linux-Kernel entdeckt, bis hin zur Rechteausweitung auf Container-Optimized OS- und Ubuntu-Knoten.
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-3777 |
GCP-2023-032
Veröffentlicht: 23. Oktober 2023
Aktualisiert: 3. November 2023
Beschreibung
Beschreibung | Schweregrad | Notes |
---|---|---|
Update vom 3. November 2023: Ein bekanntes Problem für Apigee Edge for Private Cloud wurde hinzugefügt. In Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) einschließlich des Apigee Ingress-Dienstes (Cloud Service Mesh), der von den Apigee X und Apigee Hybrid. Die Sicherheitslücke könnte zu einer DoS der API-Verwaltungsfunktionen von Apigee führen. Anleitungen und weitere Informationen findest du in der <ph type="x-smartling-placeholder"></ph> Apigee-Sicherheitsbulletin. |
Hoch | CVE-2023-44487 |
GCP-2023-031
Veröffentlicht: 10.10.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein Denial-of-Service-Angriff kann sich auf die Datenebene auswirken, wenn das HTTP/2-Protokoll. Anweisungen und weitere Informationen finden Sie in der Cloud Service Mesh-Sicherheitsbulletin |
Hoch | CVE-2023-44487 |
GCP-2023-030
Veröffentlicht: 10.10.2023
Aktualisiert:20.03.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 20.03.2024:Patchversionen für hinzugefügt GKE on AWS und GKE on Azure mit den neuesten Patches für CVE-2023-44487. Aktualisierung vom 14.02.2024:Patchversionen für hinzugefügt GKE on VMware Aktualisierung vom 09.11.2023:CVE-2023-39325 hinzugefügt. Aktualisiert GKE-Versionen mit den neuesten Patches für CVE-2023-44487 und CVE-2023-39325. Vor Kurzem wurde in mehreren Implementierungen des HTTP/2-Protokolls (CVE-2023-44487) eine DoS-Sicherheitslücke (Denial of Service) entdeckt, darunter auch auf dem von Kubernetes verwendeten Golang-HTTP-Server. Die Sicherheitslücke könnte zu einem DoS der GKE-Steuerungsebene (Google Kubernetes Engine) führen. GKE-Cluster mit konfigurierten autorisierten Netzwerken werden durch die Einschränkung des Netzwerkzugriffs geschützt. Alle anderen Cluster sind jedoch betroffen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-44487 CVE-2023-39325 |
GCP-2023-029
Veröffentlicht: 3. Oktober 2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
TorchServe wird zum Hosten von PyTorch-Modellen für maschinelles Lernen für Onlinevorhersagen verwendet. Vertex AI bietet ein vordefiniertes PyTorch-Modell für Container, die von TorchServe abhängen. In TorchServe wurden kürzlich Sicherheitslücken entdeckt, die es Angreifern ermöglichen, die Kontrolle über eine TorchServe-Bereitstellung zu übernehmen, wenn die zugehörige Modellverwaltungs-API offengelegt wurde. Kunden mit PyTorch-Modellen, die für Vertex AI-Onlinevorhersagen bereitgestellt werden, sind von diesen Sicherheitslücken nicht betroffen, da Vertex AI die Modellverwaltungs-API von TorchServe nicht offenlegt. Kunden, die TorchServe außerhalb von Vertex AI verwenden, sollten Vorkehrungen treffen, um sicherzustellen, dass ihre Bereitstellungen sicher eingerichtet werden. Was soll ich tun? Vertex AI-Kunden, die Modelle mithilfe der vordefinierten PyTorch-Bereitstellungscontainer von Vertex AI bereitgestellt haben, müssen keine Maßnahmen ergreifen, um die Sicherheitslücken zu schließen, da die Bereitstellungen von Vertex AI den Verwaltungsserver von TorchServe nicht im Internet aussetzen. Kunden, die die vordefinierten PyTorch-Container in anderen Situationen oder eine benutzerdefinierte oder Drittanbieter-Distribution von TorchServe verwenden, sollten Folgendes tun:
Welche Sicherheitslücken werden behoben? Die Verwaltungs-API von TorchServe ist in den meisten Docker-Images von TorchServe standardmäßig an Mit CVE-2023-43654 und CVE-2022-1471 können Nutzer mit Zugriff auf die Verwaltungs-API Modelle aus beliebigen Quellen laden und Code per Fernzugriff ausführen. Abmilderungen für diese beiden Probleme sind in TorchServe 0.8.2 enthalten: Der Pfad für die Remote-Codeausführung wird entfernt und eine Warnung ausgegeben, wenn der Standardwert für |
Hoch | CVE-2023-43654, CVE-2022-1471 |
GCP-2023-028
Veröffentlicht: 19.09.2023
Aktualisiert : 29.05.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 29.05.2024: In den neuen Feeds wird nicht mehr das Feld
freigegebenes Dienstkonto. Es bleibt jedoch für vorhandene Feeds aktiv, um zu vermeiden,
Störungen. Änderungen an der Quelle in älteren Feeds werden blockiert, um
um den Missbrauch des freigegebenen Dienstkontos zu verhindern. Kunden können weiterhin
ihre alten Feeds wie gewohnt verwenden, solange dabei die Quelle nicht geändert wird.
Kunden können Google Security Operations so konfigurieren, dass Daten aus kundeneigenen Cloud Storage-Buckets mithilfe eines Datenaufnahmefeeds aufgenommen werden. Bis vor Kurzem stellte Google Security Operations ein gemeinsames Dienstkonto zur Verfügung, über das Kunden Berechtigungen für den Bucket erteilt haben. Es gab die Möglichkeit, die Google Security Operations-Instanz eines Kunden so zu konfigurieren, dass Daten aus dem Cloud Storage-Bucket eines anderen Kunden aufgenommen werden konnten. Bei unserer Wirkungsanalyse konnten wir weder feststellen, dass diese Sicherheitslücke aktuell noch ausgenutzt wurde. Die Sicherheitslücke war vor dem 19. September 2023 in allen Versionen von Google Security Operations aufgetreten. Was soll ich tun? Am 19. September 2023 wurde Google Security Operations aktualisiert, um diese Sicherheitslücke zu beheben. Kunden müssen nichts weiter tun. Welche Sicherheitslücken werden behoben? Bisher stellte Google Security Operations ein freigegebenes Dienstkonto zur Verfügung, über das Kunden Berechtigungen für einen Bucket erteilt haben. Da verschiedene Kunden demselben Google Security Operations-Dienstkonto die Berechtigung für ihren Bucket erteilt haben, gab es einen Exploit-Vektor, der es dem Feed eines Kunden ermöglichte, auf den Bucket eines anderen Kunden zuzugreifen, wenn ein Feed erstellt oder geändert wurde. Für diesen Angriffsvektor musste der Bucket-URI bekannt sein. Google Security Operations verwendet jetzt beim Erstellen oder Ändern von Feeds eindeutige Dienstkonten für jeden Kunden. |
Hoch |
GCP-2023-027
Veröffentlicht: 11.09.2023Beschreibung | Schweregrad | Hinweise |
---|---|---|
VMware vCenter Server-Updates beheben mehrere Sicherheitslücken bei Speicherbeschädigungen (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896). Auswirkungen auf den KundendienstVMware vCenter Server (vCenter Server) und VMware Cloud Foundation (Cloud Foundation) Wie gehe ich am besten vor?Kunden sind davon nicht betroffen und es sind keine Maßnahmen erforderlich. |
Mittel |
GCP-2023-026
Veröffentlicht: 06.09.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
In Kubernetes wurden drei Sicherheitslücken (CVE-2023-3676, CVE-2023-3955, CVE-2023-3893) festgestellt. Dabei wurden Nutzer, die Pods auf Windows-Knoten erstellen können, möglicherweise Administratorberechtigungen für diese Knoten ausweiten. Diese Sicherheitslücken betreffen die Windows-Versionen von Kubelet und den CSI-Proxy von Kubernetes. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-3676 CVE-2023-3955 CVE-2023-3893 |
GCP-2023-025
Veröffentlicht: 08.08.2023Beschreibung | Schweregrad | Hinweise |
---|---|---|
Intel hat vor Kurzem Intel Security Advisory INTEL-SA-00828 angekündigt, die sich auf einige ihrer Prozessorfamilien auswirkt. Wir empfehlen Ihnen, Ihre Risiken auf Grundlage der Empfehlung zu bewerten. Auswirkungen der Google Cloud VMware EngineUnsere Flotte nutzt die betroffenen Prozessorfamilien. Bei unserer Bereitstellung ist der gesamte Server nur einem Kunden vorbehalten. Daher ist unsere Bereitstellung kein zusätzliches Risiko für Ihre Bewertung dieser Sicherheitslücke. Wir arbeiten mit unseren Partnern zusammen, um die notwendigen Patches zu erhalten, und werden diese Patches in der gesamten Flotte mithilfe der Methode Standard-Upgrade-Prozess in den nächsten Wochen durchgeführt. Wie gehe ich am besten vor?Es besteht Ihrerseits kein Handlungsbedarf. Wir arbeiten an der Aktualisierung aller betroffene Systeme. |
Hoch |
GCP-2023-024
Veröffentlicht: 08.08.2023
Aktualisiert:10.08.2023, 04.06.2024
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 04.06.2024:Die folgenden fehlenden Produkte wurden zur Behebung dieser Sicherheitslücke aktualisiert:
Update vom 10.08.2023:Die ChromeOS LTS-Versionsnummer wurde hinzugefügt. Intel hat eine Sicherheitslücke in ausgewählten Prozessoren festgestellt (CVE-2022-40982). Google hat Maßnahmen ergriffen, um seinen Serverpool, einschließlich Google, zu minimieren. Cloud, um Kunden besser zu schützen. Details zu Sicherheitslücken:
Was soll ich tun?
Kunden müssen nichts weiter tun. Alle verfügbaren Patches wurden bereits auf den Google-Server angewendet. für Google Cloud, einschließlich der Google Compute Engine. Derzeit sind für die folgenden Produkte zusätzliche Updates von Partnerunternehmen und Anbieter.
Google korrigiert diese Produkte, sobald diese Patches erstellt wurden und dieses Bulletin wird entsprechend aktualisiert. Google Chromebook- und ChromeOS Flex-Kunden erhielten die von Intel bereitgestellten Risikominderungen für die stabilen, und „Kandidat für Langzeitsupport“ (114). Chromebook- und ChromeOS Flex-Kunden, die an eine In der älteren Version sollten Sie sie loslösen und zur stabilen Version oder zur Version „Langzeitsupport“ wechseln. um diese und andere Sicherheitslücken zu beheben. Welche Sicherheitslücken werden behoben? CVE-2022-40982: Weitere Informationen finden Sie unter Intel-Sicherheitswarnung INTEL-SA-00828 |
Hoch | CVE-2022-40982 |
GCP-2023-023
Veröffentlicht: 08.08.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
AMD hat eine Sicherheitslücke in ausgewählten Prozessoren festgestellt (CVE-2023-20569). Google hat Maßnahmen ergriffen, um seinen Serverpool, einschließlich Google, zu minimieren. Cloud, um Kunden besser zu schützen. Details zu Sicherheitslücken:
Was soll ich tun?
Nutzer von Compute Engine-VMs sollten vom Betriebssystem bereitgestellte Abhilfemaßnahmen in Betracht ziehen, wenn nicht vertrauenswürdigen Code innerhalb einer Instanz ausführen. Wir empfehlen Kunden, um sich an die Anbieter des Betriebssystems zu wenden, um genauere Informationen zu erhalten. Korrekturen wurden bereits auf den Google-Servern für Google vorgenommen Cloud, einschließlich Google Compute Engine. Welche Sicherheitslücken werden behoben? CVE-2023-20569: Weitere Informationen finden Sie unter AMD SB-7005 |
Mittel | CVE-2023-20569 |
GCP-2023-022
Veröffentlicht: 03.08.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Google hat vor Release 1.57 eine Sicherheitslücke in gRPC-C++-Implementierungen identifiziert. Dies war eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC. Diese Probleme wurden in den Releases 1.53.2, 1.54.3, 1.55.2, 1.56.2 und 1.57 behoben. Was soll ich tun? Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:
Welche Sicherheitslücken werden behoben? Diese Patches mindern die folgenden Sicherheitslücken:
| Hoch | CVE-2023-33953 |
GCP-2023-021
Updated:2023-07-26
Published:2023-07-25
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden CVEs machen Cloud Service Mesh aus ausnutzbaren Sicherheitslücken aus:
Anweisungen und weitere Informationen finden Sie in der Cloud Service Mesh-Sicherheitsbulletin |
Hoch |
GCP-2023-020
Updated:2023-07-26
Veröffentlicht: 24.07.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
AMD hat ein Microcode-Update für ein Hardware-Sicherheitsupdate veröffentlicht. Sicherheitslücke (CVE-2023-20593). Google hat die erforderlichen Korrekturen vorgenommen für die Serverflotte, einschließlich der Server für die Google Cloud Platform Tests zeigen, dass es keine Auswirkungen auf die Leistung von Systemen. Was soll ich tun? Sie müssen nichts weiter tun, da bereits Korrekturen vorgenommen wurden für die Google-Serverflotte für die Google Cloud Platform. Welche Sicherheitslücken werden behoben? CVE-2023-20593 behebt eine Sicherheitslücke in einigen AMD-CPUs. Mehr finden Sie hier. | Hoch | CVE-2023-20593 |
GCP-2023-019
Published:2023-07-18
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Eine neue Sicherheitslücke (CVE-2023-35945) wurde in Envoy gefunden
eine speziell erstellte Antwort von einem nicht vertrauenswürdigen vorgelagerten Dienst.
aufgrund von Speicherausschöpfung zu
Denial of Service führen kann. Dies hat folgende Gründe:
durch den HTTP/2-Codec von Envoy erzeugt. Dadurch können Header Map und Buchhaltung
Gebäude nach Empfang von Anweisungen und weitere Informationen finden Sie in der Cloud Service Mesh-Sicherheitsbulletin | Hoch | CVE-2023-35945 |
GCP-2023-018
Veröffentlicht: 27.06.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-2235) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE Autopilot-Cluster sind betroffen, da GKE Autopilot-Knoten immer Container-Optimized OS-Knoten-Images verwenden. Betroffen sind GKE-Standardcluster mit Version 1.25 oder höher, auf denen Container-Optimized OS-Knoten-Images ausgeführt werden. GKE-Cluster sind nicht betroffen, wenn sie nur Ubuntu-Knoten-Images bzw. Versionen vor 1.25 ausführen oder GKE Sandbox verwenden. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-2235 |
GCP-2023-017
Veröffentlicht: 26.06.2023
Aktualisiert:11.07.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 11.07.2023: Neue GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die den Patch CVE-2023-31436. Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-31436) entdeckt, die zu einer Rechteausweitung auf dem Knoten führen kann. GKE-Cluster, einschließlich Autopilot-Cluster, sind betroffen. GKE-Cluster, die GKE Sandbox verwenden, sind nicht betroffen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-31436 |
GCP-2023-016
Veröffentlicht: 26.06.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
In Envoy wurden mehrere Sicherheitslücken entdeckt, in Cloud Service Mesh, die es Angreifern ermöglichen, oder zum Absturz von Envoy führen. Diese wurden separat als GCP-2023-002: Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-27496 CVE-2023-27488 CVE-2023-27493 CVE-2023-27492, CVE-2023-27491 CVE-2023-27487 |
GCP-2023-015
Veröffentlicht: 20.06.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke, CVE-2023-0468, gefunden. Sie ermöglicht einem nicht privilegierten Nutzer, seine Berechtigungen an Root auszuweiten, wenn io_poll_get_ownership req->poll_refs für jedes io_poll_wake immer wieder erhöht, dann einen Überlauf auf 0, wodurch req->file ref zweimal gesendet wird und ein Problem mit der Struktur auftritt. Betroffen sind GKE-Cluster, einschließlich Autopilot-Cluster, mit Container-Optimized OS und Linux Kernel Version 5.15. GKE-Cluster mit Ubuntu-Images oder GKE Sandbox sind nicht betroffen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel | CVE-CVE-2023-0468 |
GCP-2023-014
Aktualisiert: 11.08.2023
Veröffentlicht: 15.06.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 11.08.2023 : Patchversionen für GKE on VMware, GKE on AWS, GKE on Azure und Google Distributed Cloud Virtual for Bare Metal wurden hinzugefügt. In Kubernetes wurden zwei neue Sicherheitsprobleme gefunden: Nutzer können möglicherweise Container starten, die Richtlinieneinschränkungen umgehen, wenn sie sitzungsspezifische Container und entweder ImagePolicyWebhook (CVE-2023-2727) oder das ServiceAccount Admission-Plug-in (CVE-2023-2728) verwenden. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel | CVE-2023-2727, CVE-2023-2728 |
GCP-2023-013
Veröffentlicht: 08.06.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Wenn Sie die Cloud Build API
in einem Projekt aktivieren,
Cloud Build erstellt automatisch ein Standarddienstkonto
um Builds in Ihrem Namen auszuführen. Dieser Cloud Build-Dienst
Konto zuvor die Anweisungen und weitere Informationen finden Sie in der Cloud Build-Sicherheitsbulletin |
Niedrig |
GCP-2023-010
Veröffentlicht: 07.06.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Google hat drei neue Sicherheitslücken in der gRPC-C++-Implementierung identifiziert. Diese werden demnächst als CVE-2023-1428, CVE-2023-32731 und CVE-2023-32732 veröffentlicht. Im April haben wir zwei Sicherheitslücken in den Releases 1.53 und 1.54 identifiziert. Eine war eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung des gRPC-Tools und die andere eine Remote-Daten-Exfiltration. Diese Fehler wurden in den Releases 1.53.1, 1.54.2 und höher behoben. Zuvor im März haben unsere internen Teams bei der Durchführung von Routine-Fuzzing-Aktivitäten eine Denial-of-Service-Sicherheitslücke in der C++-Implementierung von gRPC entdeckt. Er war in der gRPC-Version 1.52 enthalten und wurde in den Versionen 1.52.2 und 1.53 behoben. Wie gehe ich am besten vor?Achten Sie darauf, dass Sie die neuesten Versionen der folgenden Softwarepakete verwenden:
Welche Sicherheitslücken werden mit diesen Patches behoben?Diese Patches mindern die folgenden Sicherheitslücken:
Wir empfehlen ein Upgrade auf die neueste Version der folgenden Softwarepakete. |
Hoch (CVE-2023-1428, CVE-2023-32731). Mittel (CVE-2023-32732) | CVE-2023-1428 CVE-2023-32731 CVE-023-32732 |
GCP-2023-009
Veröffentlicht: 06.06.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Secrets-store-csi-driver wurde eine neue Sicherheitslücke (CVE-2023-2878) entdeckt, durch die ein Nutzer mit Zugriff auf die Treiberlogs Dienstkonto-Tokens beobachten konnte. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Keine | CVE-2023-2878 |
GCP-2023-008
Veröffentlicht: 05.06.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2023-1872) entdeckt, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen kann. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-1872 |
GCP-2023-007
Veröffentlicht: 2023-06-02
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
In Cloud SQL for SQL Server wurde kürzlich eine Sicherheitslücke entdeckt, die
haben Administratorkonten von Kunden erlaubt, Trigger im
Google Cloud hat das Problem durch die Behebung der Sicherheitslücke zum Zeitpunkt des 1. März 2023 behoben. Google Cloud hat keine kompromittierten Kundeninstanzen gefunden. Anweisungen und weitere Informationen finden Sie in der Cloud SQL-Sicherheitsbulletin. |
Hoch |
GCP-2023-005
Veröffentlicht: 18.05.2023
Aktualisiert:06.06.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 06.06.2023:Neue GKE-Versionen wurden aktualisiert und enthalten die neuesten Ubuntu-Versionen, die CVE-2023-1281 und CVE-2023-1829 patchen. Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2023-1281, CVE-2023-1829) gefunden, die zu einer Rechteausweitung auf das Stammverzeichnis des Knotens führen können. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-1281 CVE-2023-1829 |
GCP-2023-004
Veröffentlicht: 26.04.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Zwei Sicherheitslücken (CVE-2023-1017 und CVE-2023-1018) im Trusted Platform Module (TPM) 2.0 entdeckt wurden. Diese Sicherheitslücken hätten es einem cleveren Angreifer ermöglicht, einen 2-Byte-Lese-/Schreibvorgang außerhalb des gültigen Bereichs in einer bestimmten Compute Engine nutzen VMs Anweisungen und weitere Informationen finden Sie in der Compute Engine-Sicherheitsbulletin. |
Mittel |
GCP-2023-003
Veröffentlicht: 11.04.2023
Aktualisiert:21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Im Linux-Kernel wurden zwei neue Sicherheitslücken, CVE-2023-0240 und CVE-2023-23586, gefunden, über die nicht berechtigte Nutzer Berechtigungen ausweiten konnten. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2023-0240, CVE-2023-23586 |
GCP-2023-002
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden CVEs machen Cloud Service Mesh aus ausnutzbaren Sicherheitslücken aus:
Eine Anleitung und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin: |
Hoch |
GCP-2023-001
Veröffentlicht: 01.03.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-4696) entdeckt, bis hin zu einer Rechteausweitung auf dem Knoten. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2022-4696 |
GCP-2022-026
Veröffentlicht: 11.01.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) wurden die in OpenSSL v3.0.6 gefunden wurden, die zu Abstürzen führen können. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel |
GCP-2022-025
Veröffentlicht: 21.12.2022
Aktualisiert:19.01.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Aktualisierung vom 19.01.2023:Informationen hinzugefügt, die GKE-Version 1.21.14-gke.14100 ist verfügbar. Zwei neue Sicherheitslücken (CVE-2022-3786 und CVE-2022-3602) wurden die in OpenSSL v3.0.6 gefunden wurden, die zu Abstürzen führen können. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel |
GCP-2022-024
Veröffentlicht: 09.11.2022
Aktualisiert: 19.01.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 19.01.2023:Informationen hinzugefügt, die GKE-Version 1.21.14-gke.14100 ist verfügbar. Update vom 16.12.2022:Patchversionen für hinzugefügt GKE und GKE on VMware. Im Linux-Kernel wurden zwei neue Sicherheitslücken (CVE-2022-2585 und CVE-2022-2588) gefunden, die zu einem vollständigen Durchbruch des Containers bis zum Root auf dem Knoten führen können. Eine Anleitung und weitere Informationen finden Sie unter: |
Hoch |
GCP-2022-023
Veröffentlicht: 04.11.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Sicherheitslücke CVE-2022-39278 wurde in Istio, das in Cloud Service Mesh verwendet wird, ermöglicht eine zum Absturz der Steuerungsebene. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2022-39278 |
GCP-2022-022
Veröffentlicht: 28.10.2022
Aktualisiert: 14.12.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 14.12.2022:Patchversionen für hinzugefügt GKE und GKE on VMware. Die neue Sicherheitslücke CVE-2022-20409 wurde Kernel, der es einem nicht berechtigten Nutzer ermöglichen konnte, an das System zu eskalieren Ausführungsprivileg. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2022-20409 |
GCP-2022-021
Veröffentlicht: 27.10.2022
Aktualisiert:19.01.2023, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Aktualisierung vom 19.01.2023:Informationen hinzugefügt, die GKE-Version 1.21.14-gke.14100 ist verfügbar. Aktualisierung vom 15.12.2022: Aktualisierung der Informationen Roll-out von 1.21.14-gke.9400 von Google Kubernetes Engine steht aus und wird möglicherweise durch eine höhere Versionsnummer ersetzt werden. Aktualisierung vom 22. November 2022:Patchversionen für hinzugefügt GKE on VMware, GKE on AWS und GKE on Azure. Im Linux-Kernel wurde die neue Sicherheitslücke CVE-2022-3176 entdeckt, bis hin zur lokalen Rechteausweitung. Durch diese Sicherheitslücke kann ein nicht privilegierter Nutzer vollständige Container-Breakouts zum Rooting auf dem Knoten. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2022-3176 |
GCP-2022-020
Veröffentlicht: 05.10.2022
Aktualisiert: 12.10.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die Istio-Steuerungsebene Eine Anleitung und weitere Informationen finden Sie im Sicherheitsbulletin für Cloud Service Mesh. |
Hoch | CVE-2022-39278 |
GCP-2022-019
Veröffentlicht: 22.09.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Eine Sicherheitslücke beim Parsen von Nachrichten und bei der Speicherverwaltung in Die C++- und Python-Implementierungen von ProtocolBuffer können Arbeitsspeicherfehler (OOM) beim Verarbeiten einer speziell erstellten Nachricht. Dieses zu einem Denial of Service (DoS) für Dienste führen kann, Bibliotheken. Wie gehe ich am besten vor?Achten Sie darauf, dass Sie die neueste Version der folgenden Software verwenden. Pakete:
Welche Sicherheitslücken werden mit diesem Patch behoben?Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke:
Eine speziell konstruierte kleine Nachricht, die den laufenden Dienst auslöst
großen Arbeitsspeicher zuweisen. Aufgrund der geringen Größe der Anfrage
dass es einfach ist, die Sicherheitslücken auszunutzen,
Ressourcen. C++- und Python-Systeme, die nicht vertrauenswürdige Protokollpuffer nutzen
wären anfällig für DoS-Angriffe, wenn sie eine
|
Mittel | CVE-2022-1941 |
GCP-2022-018
Veröffentlicht: 01.08.2022
Aktualisiert:14.09.2022, 21.12.2023
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 21.12.2023:Es wurde klargestellt, dass GKE Autopilot-Cluster in der Standardkonfiguration sind nicht betroffen sind. Update vom 14.09.2022:Patchversionen für hinzugefügt GKE on VMware, GKE on AWS und GKE on Azure. Im Linux-Kernel wurde eine neue Sicherheitslücke (CVE-2022-2327) entdeckt, die zu einer lokalen Rechteausweitung führen kann. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: | Hoch | CVE-2022-2327 |
GCP-2022-017
Veröffentlicht: 29.06.2022
Aktualisiert:22.11.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 22.11.2022:Arbeitslasten, die GKE Sandbox verwenden, sind von diesen Sicherheitslücken nicht betroffen. Update vom 21.07.2022: zusätzliche Informationen zu GKE on VMware. Eine neue Sicherheitslücke (CVE-2022-1786) wurde in den Linux-Kernel-Versionen 5.10 und 5.11 entdeckt. Diese Sicherheitslücke ermöglicht einem nicht privilegierten Nutzer mit lokalem Zugriff auf den Cluster, einen vollständigen Container-Breakout zum Root auf dem Knoten zu erreichen. Es sind nur Cluster betroffen, in denen Container-Optimized OS ausgeführt wird. GKE-Ubuntu-Versionen verwenden entweder Version 5.4 oder 5.15 des Kernels und sind nicht betroffen. Anleitungen und weitere Informationen finden Sie hier: |
Hoch | CVE-2022-1786 |
GCP-2022-016
Veröffentlicht: 23.06.2022
Aktualisiert:22.11.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 22.11.2022:Autopilot-Cluster sind nicht von CVE-2022-29581 betroffen, sind aber anfällig für CVE-2022-29582 und CVE-2022-1116. Drei neue Sicherheitslücken aufgrund von Speicherschäden (CVE-2022-29581, CVE-2022-29582, CVE-2022-1116) wurden in den Linux-Kernel. Durch diese Sicherheitslücken können nicht privilegierte Nutzer lokaler Zugriff auf den Cluster, um einen vollständigen Container-Breakout zum Root zu erreichen auf dem Knoten. Alle Linux-Cluster (Container-Optimized OS und Ubuntu) betroffen sind. Anweisungen und weitere Einzelheiten finden Sie in den folgenden Bulletins: |
Hoch |
GCP-2022-015
Veröffentlicht: 09.06.2022
Aktualisiert:10.06.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 10. Juni 2022: Die Cloud Service Mesh-Versionen wurden aktualisiert. Anweisungen und weitere Informationen finden Sie in der Cloud Service Mesh-Sicherheitsbulletin Die folgenden CVEs bei Envoy und Istio machen Cloud Service Mesh und Istio on GKE für remote ausnutzbare Sicherheitslücken aus:
Anweisungen und weitere Informationen finden Sie in der Cloud Service Mesh-Sicherheitsbulletin |
Kritisch |
GCP-2022-014
Veröffentlicht: 26.04.2022
Aktualisiert:22.11.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 22.11.2022: GKE Autopilot-Cluster und -Arbeitslasten, die ausgeführt werden in GKE Sandbox sind nicht betroffen. Update vom 12.05.2022: GKE on AWS und Die Versionen von GKE on Azure wurden aktualisiert. Für und weitere Details finden Sie unter:
Im Linux-Kernel wurden zwei Sicherheitslücken entdeckt, CVE-2022-1055 und CVE-2022-27666. Beide können dazu führen, dass ein lokaler Angreifer in der Lage ist, einen Containerausfall, eine Ausweitung der Berechtigungen auf dem Host oder beides durchzuführen. Diese Sicherheitslücken betreffen alle Betriebssysteme von GKE-Knoten (Container-Optimized OS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch |
CVE-2022-1055 CVE-2022-27666 |
GCP-2022-013
Veröffentlicht: 11.04.2022
Aktualisiert:22.04.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Bei der Verarbeitung des Pfaddurchlaufs in der OCI-Volume-Spezifikation wurde eine Sicherheitslücke, CVE-2022-23648, entdeckt. Container, die über die CRI-Implementierung von containerd mit einer speziell konzipierten Image-Konfiguration gestartet wurden, können vollen Lesezugriff auf beliebige Dateien und Verzeichnisse auf dem Host erhalten. Diese Sicherheitslücke kann jede richtlinienbasierte Durchsetzung bei der Containereinrichtung (einschließlich einer Kubernetes-Pod-Sicherheitsrichtlinie) umgehen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel | CVE-2022-23648 |
GCP-2022-012
Veröffentlicht: 07.04.2022
Aktualisiert:22.11.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 22.11.2022: Für GKE-Cluster in beiden Modi (Standard und Autopilot) sind Arbeitslasten mit GKE Sandbox nicht betroffen. Im Linux-Kernel ab Version 5.8 wurde eine Sicherheitslücke (CVE-2022-0847) entdeckt, durch die möglicherweise Root-Rechte erlangt werden können. Diese Sicherheitslücke betrifft die folgenden Produkte:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2022-0847 |
GCP-2022-011
Veröffentlicht: 22.03.2022
Aktualisiert: 11.08.2022
Beschreibung
Beschreibung | Schweregrad |
---|---|
Aktualisierung vom 11.08.2022:Weitere Informationen zum SMT-Konfiguration (Simultaneous Multi-Threading). SMT war dazu gedacht, deaktiviert sein, war aber in den aufgeführten Versionen aktiviert. Wenn Sie manuell SMT für einen Knotenpool in einer Sandbox aktiviert ist, bleibt SMT manuell aktiviert trotz dieses Problems. Es gibt eine fehlerhafte Konfiguration beim Gleichzeitigen Multi-Threading (SMT), auch als Hyper-Threading bezeichnet, auf GKE Sandbox-Images. Durch eine fehlerhafte Konfiguration werden Knoten möglicherweise für Nebenkanalangriffe wie Microarchitectural Data Sampling (MDS) ausgesetzt. Weitere Informationen finden Sie in der GKE Sandbox-Dokumentation. Wir raten davon ab, die folgenden betroffenen Versionen zu verwenden:
Weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Mittel |
GCP-2022-010
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgende Istio-CVE-Sicherheitslücke macht Cloud Service Mesh für eine Remote-Verbindung verfügbar. ausnutzbare Sicherheitslücke:
Anweisungen und weitere Details finden Sie im folgenden Sicherheitsbulletin: |
Hoch |
GCP-2022-009
Veröffentlicht: 01.03.2022Beschreibung
Beschreibung | Schweregrad |
---|---|
Einige unerwartete Pfade für den Zugriff auf die Knoten-VM in GKE Autopilot-Clustern wurden möglicherweise verwendet, um Berechtigungen im Cluster zu eskalieren. Diese Probleme wurden behoben und es sind keine weiteren Maßnahmen erforderlich. Die Fehlerkorrekturen beheben Probleme, die über unser Vulnerability Reward Program gemeldet wurden. Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin |
Niedrig |
GCP-2022-008
Veröffentlicht: 23.02.2022
Aktualisiert : 28.04.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 28.04.2022: Es wurden Versionen von GKE on VMware hinzugefügt, die diese beheben. Sicherheitslücken. Weitere Informationen finden Sie in der GKE on VMware-Sicherheitsbulletin Beim Envoy-Projekt wurde vor Kurzem eine Reihe von Sicherheitslücken entdeckt. Alle Die unten aufgeführten Probleme wurden in der Envoy-Version 1.21.1 behoben.
<ph type="x-smartling-placeholder">
Envoy-Nutzer, die ihre eigenen Envoy verwalten, sollten sicherstellen, dass sie die Envoy-Version 1.21.1 verwenden. Envoy-Nutzer, die ihre eigenen Envoy-Proxys verwalten, erstellen die Binärdateien aus einer Quelle wie GitHub und stellen sie bereit. Nutzer, die verwaltete Envoy-Binärdateien ausführen (Google Cloud stellt die Envoy-Binärdateien) bereit, für die Google Cloud-Produkte auf Version 1.21.1 umgestellt werden, müssen nichts weiter unternehmen. |
Hoch |
CVE-2022-23606 CVE-2022-21655 CVE-2021-43826 CVE-2021-43825 CVE-2021-43824 CVE-2022-21654 CVE-2022-21657 CVE-2022-21656 |
GCP-2022-007
Veröffentlicht: 22.02.2022Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden CVEs bei Envoy und Istio machen das Cloud Service Mesh und Istio on GKE für remote ausnutzbare Sicherheitslücken:
Anleitungen und weitere Informationen finden Sie in den folgenden Sicherheitsrichtlinien Bulletins: |
Hoch |
GCP-2022-006
Veröffentlicht: 14.02.2022Aktualisiert: 16.05.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Update vom 16.05.2022:Der Liste der Versionen mit Code zum Beheben dieser Sicherheitslücke wurde die GKE-Version 1.19.16-gke.7800 oder höher hinzugefügt. Weitere Informationen finden Sie im GKE-Sicherheitsbulletin. Update vom 12.05.2022: Die GKE, GKE on VMware, GKE on AWS und Die Versionen von GKE on Azure wurden aktualisiert. Für und weitere Details finden Sie hier:
In der Funktion |
Niedrig |
Eine Anleitung und weitere Informationen finden Sie unter: |
GCP-2022-005
Veröffentlicht: 11.02.2022Aktualisiert: 15.02.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Es wurde eine Sicherheitslücke, CVE-2021-43527, in einer beliebigen Binärdatei entdeckt, die auf die anfälligen Versionen von libnss3 in Versionen von NSS (Network Security Services) vor 3.73 oder 3.68.1 verweist. Anwendungen, die NSS für die Zertifikatsprüfung oder andere TLS-, X.509-, OCSP- oder CRL-Funktionen verwenden, können abhängig davon, wie NSS verwendet/konfiguriert wird, betroffen sein. Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel | CVE-2021-43527 |
GCP-2022-004
Veröffentlicht: 04.02.2022Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
In pkexec, einem Teil des Linux-Policy-Kits (polkit), wurde die Sicherheitslücke CVE-2021-4034 erkannt, die einem authentifizierten Nutzer die Ausführung eines Angriffs nach Rechteausweitung ermöglicht. PolicyKit wird im Allgemeinen nur auf Linux-Desktopsystemen verwendet, um Nicht-Root-Nutzer Aktionen wie das Neustarten des Systems, das Installieren von Paketen, das Neustarten von Diensten usw. gemäß einer Richtlinie zu ermöglichen. Eine Anleitung und weitere Informationen finden Sie unter: |
Keine | CVE-2021-4034 |
GCP-2022-002
Veröffentlicht: 01.02.2022Aktualisiert:25.02.2022
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 25.02.2022: GKE Versionen aktualisiert. Für und weitere Details finden Sie hier: Update vom 23.02.2022: GKE und GKE on VMware-Versionen wurden aktualisiert. Für und weitere Details finden Sie hier: Aktualisierung vom 04.02.2022: Das Roll-out-Startdatum für GKE-Patchversionen war am 2. Februar. Drei Sicherheitslücken, CVE-2021-4154, CVE-2021-22600 und CVE-2022-0185, wurden im Linux-Kernel erkannt, von der jede zu einem Container-Breakout, einer Rechteausweitung auf dem Host oder zu beidem führen kann. Diese Sicherheitslücken betreffen alle Knotenbetriebssysteme (COS und Ubuntu) in GKE, GKE on VMware, GKE on AWS (aktuelle und vorherige Generation) sowie GKE auf Azure. Pods, die GKE Sandbox verwenden, sind für diese Sicherheitslücken nicht anfällig. Weitere Informationen finden Sie in den COS-Versionshinweisen. Eine Anleitung und weitere Informationen finden Sie unter: |
Hoch |
GCP-2022-001
Veröffentlicht: 06.01.2022Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein potenzielles Denial-of-Service-Problem in Was soll ich tun? Achten Sie darauf, dass Sie die neueste Version der folgenden Software verwenden. Pakete:
Protobuf „Javalite“ -Nutzer (in der Regel Android) sind nicht betroffen. Welche Sicherheitslücken werden mit diesem Patch behoben? Dieser Patch dient zur Abschwächung der folgenden Sicherheitslücke: Eine Implementierungsschwäche beim Parsen unbekannter Felder in Java. A kleine schädliche Nutzlast (ca. 800 KB) kann den Parser mehrere Minuten lang belegen. indem eine große Anzahl kurzlebiger Objekte erstellt wird, die häufige, für wiederholte Pausen der automatischen Speicherbereinigung. |
Hoch | CVE-2021-22569 |
GCP-2021-024
Veröffentlicht: 21.10.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Kubernetes-Controller Ingress-nginx wurde das Sicherheitsproblem CVE-2021-25742 festgestellt. Benutzerdefinierte Snippets für Ingress-nginx ermöglichen das Abrufen von Tokens und Secrets für Ingress-nginx in allen Namespaces. Eine Anleitung und weitere Informationen finden Sie unter: | Keine | CVE-2021-25742 |
GCP-2021-019
Veröffentlicht: 29.09.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Es gibt ein bekanntes Problem, das Auftritt, wenn eine Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Niedrig |
GCP-2021-022
Veröffentlicht: 22.09.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im GKE Enterprise Identity Service wurde eine Sicherheitslücke erkannt (AIS) LDAP-Modul von GKE on VMware in den Versionen 1.8 und 1.8.1, wobei ein Der Seed-Schlüssel, der beim Generieren von Schlüsseln verwendet wird, ist vorhersehbar. Mit dieser Sicherheitslücke könnte ein authentifizierter Nutzer beliebige Anforderungen hinzufügen und Berechtigungen auf unbestimmte Zeit eskalieren. Anleitungen und weitere Informationen finden Sie unter GKE on VMware Sicherheitsbulletin. |
Hoch |
GCP-2021-021
Veröffentlicht: 22.09.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
In Kubernetes wurde die Sicherheitslücke CVE-2020-8561 erkannt, bei der bestimmte Webhooks erstellt werden können, um kube-apiserver-Anfragen an private Netzwerke dieses API-Servers weiterzuleiten. Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel | CVE-2020-8561 |
GCP-2021-023
Veröffentlicht: 21.09.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Gemäß dem VMware-Sicherheitshinweis VMSA-2021-0020 hat VMware Berichte zu mehreren Sicherheitslücken in vCenter erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben. Wir haben die von VMware bereitgestellten Patches für den vSphere-Stack bereits gemäß dem VMware-Sicherheitshinweis auf Google Cloud VMware Engine angewendet. Mit diesem Update werden die in CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 und CVE-2021-22010 beschriebenen Sicherheitslücken behoben. Andere nicht kritische Sicherheitsprobleme werden im nächsten VMware-Stack-Upgrade behoben (siehe Vorabankündigung vom Juli). Weitere Details zur spezifischen Zeitachse des Upgrades werden bald bereitgestellt. Auswirkungen auf VMware EngineUnsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren. Was soll ich tun?Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. |
Kritisch |
GCP-2021-020
Veröffentlicht: 17.09.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Bestimmte Google Cloud-Load-Balancer, die Weiterleitungen an einen für das Identity-Aware Proxy (IAP) aktivierten Backend-Dienst vornehmen, können unter bestimmten Bedingungen von einer nicht vertrauenswürdige Partei missbraucht werden. Damit wurde ein über das Prämienprogramm für die Meldung von Sicherheitslücken gemeldetes Problem behoben. Die Bedingungen waren, dass die Server:
Darüber hinaus musste ein Nutzer in Ihrer Organisation auf einen speziell erstellten Link geklickt haben, der von einer nicht vertrauenswürdigen Partei gesendet wurde. Dieses Problem wurde behoben. IAP wurde am 17. September 2021 so aktualisiert, dass Cookies nur noch für autorisierte Hosts ausgegeben werden. Ein Host gilt als autorisiert, wenn er mit mindestens einem SAN (Subject Alternative Name) in einem der Zertifikate übereinstimmt, die auf Ihren Load-Balancern installiert sind. Was muss ich tun?
Einigen Ihrer Nutzer:innen wird möglicherweise beim Versuch, auf Anwendungen oder Dienste zuzugreifen, die Antwort „HTTP 401 – Unauthorized“ mit dem IAP-Fehlercode 52 angezeigt. Dieser Fehlercode bedeutet, dass der Client einen |
Hoch |
GCP-2021-018
Veröffentlicht: 15.09.2021Aktualisiert: 20.09.2021
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Ein Sicherheitsproblem in Kubernetes (CVE-2021-25741) wurde festgestellt, bei dem Nutzer möglicherweise einen Container mit Unterpfad-Volume-Bereitstellungen erstellen können, um auf Dateien und Verzeichnisse außerhalb des Volumes, z. B. im Hostdateisystem, zuzugreifen. Eine Anleitung und weitere Informationen finden Sie unter: |
Hoch | CVE-2021-25741 |
GCP-2021-017
Veröffentlicht: 01.09.2021Zuletzt aktualisiert: 23.09.2021
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung vom 23. 09. 2021: Container, die in der GKE Sandbox ausgeführt werden, sind von dieser Sicherheitslücke für Angriffe aus dem Container nicht betroffen. Im Linux-Kernel wurden zwei Sicherheitslücken erkannt, CVE-2021-33909 und CVE-2021-33910, die zu einem Absturz des Betriebssystems oder einer Eskalation zum Root durch einen nicht privilegierten Nutzer führen können. Diese Sicherheitslücke betrifft alle GKE-Knotenbetriebssysteme (COS und Ubuntu). Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2021-33909, CVE-2021-33910 |
GCP-2021-016
Veröffentlicht: 24.08.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Die folgenden CVEs bei Envoy und Istio machen Cloud Service Mesh und Istio on GKE für remote ausnutzbare Sicherheitslücken aus:
Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch |
GCP-2021-015
Veröffentlicht: 13.07.2021Zuletzt aktualisiert: 15.07.2021
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Es wurde eine neue Sicherheitslücke (CVE-2021-22555) entdeckt, bei der ein böswilliger Akteur mit Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Hoch | CVE-2021-22555 |
GCP-2021-014
Veröffentlicht: 05.07.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Microsoft hat ein Sicherheitsbulletin CVE-2021-34527 zu einer Sicherheitslücke (Remote Code Execution, RCE) veröffentlicht, die Auswirkungen auf die Druckwarteschlange bei Windows-Servern hat. Das CERT Coordination Center (CERT/CC) hat einen Hinweis zu einer ähnlichen Sicherheitslücke mit dem Namen "PrintNightmare" veröffentlicht. Auch diese hat Auswirkungen auf Windows-Druckwarteschlangen – PrintNightmare, kritische Windows-Sicherheitslücke für Druckwarteschlange. Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Hoch | CVE-2021-34527 |
GCP-2021-012
Veröffentlicht: 24.06.2021Zuletzt aktualisiert: 09.07.2021
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Das Istio-Projekt hat vor Kurzem eine Sicherheitslücke gemeldet, über die auf in den Feldern "Gateway" und "DestinationRule credentialName" angegebenen Anmeldedaten von verschiedenen Namespaces aus zugegriffen werden kann. Produktspezifische Anleitungen und weitere Informationen finden Sie unter:
|
Hoch | CVE-2021-34824 |
GCP-2021-011
Veröffentlicht: 04.06.2021Zuletzt aktualisiert: 19.10.2021
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisierung 19.10.2021: Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins:
Die Sicherheitscommunity hat kürzlich eine neue Sicherheitslücke (CVE-2021-30465) entdeckt, die in Da für die Ausnutzung dieser Sicherheitslücke das Erstellen von Pods erforderlich ist, haben wir den Schweregrad dieser Sicherheitslücke mit MITTEL bewertet. Anleitungen und weitere Informationen finden Sie im GKE-Sicherheitsbulletin. |
Mittel | CVE-2021-30465 |
GCP-2021-010
Veröffentlicht: 25.05.21Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Gemäß VMware-Sicherheitshinweis VMSA-2021-0010 wurden die Remote-Codeausführung und die Authentifizierung über die Sicherheitslücken im vSphere-Client (HTML5) privat an VMware gemeldet. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben. Wir haben die von VMware bereitgestellten Patches gemäß dem VMware-Sicherheitshinweis für den vSphere-Stack angewendet. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21985 und CVE-2021-21986 beschrieben wurden. Die Image-Versionen, die in Ihrer privaten VMware Engine-Cloud ausgeführt werden, spiegeln derzeit keine Änderungen wider, die auf die angewendeten Patches hinweisen. Sie können sich darauf verlassen, dass entsprechende Patches installiert und Ihre Umgebung vor diesen Sicherheitslücken geschützt wird. Auswirkungen auf VMware EngineUnsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren. Was soll ich tun?Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. |
Kritisch |
GCP-2021-008
Veröffentlicht: 17.05.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann, über die ein externer Client auf unerwartete Dienste im Cluster zugreifen kann. Dabei werden Autorisierungsprüfungen umgangen, wenn ein Gateway mit der Routingkonfiguration Eine Anleitung und weitere Informationen finden Sie im Cloud Service Mesh-Sicherheitsbulletin. |
Hoch |
CVE-2021-31921 |
GCP-2021-007
Veröffentlicht: 17.05.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der ein HTTP-Anfragepfad mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen ( Eine Anleitung und weitere Informationen finden Sie im Sicherheitsbulletin für Cloud Service Mesh. |
Hoch |
CVE-2021-31920 |
GCP-2021-006
Veröffentlicht: 11.05.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Das Istio-Projekt hat kürzlich eine neue Sicherheitslücke gemeldet (CVE-2021-31920), die Istio betrifft. Istio enthält eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann und bei der eine HTTP-Anfrage mit mehreren Schrägstrichen oder mit maskierten Schrägstrichzeichen die Istio-Autorisierungsrichtlinie umgehen kann, wenn pfadbasierte Autorisierungsregeln verwendet werden. Eine Anleitung und weitere Informationen finden Sie unter: |
Hoch |
CVE-2021-31920 |
GCP-2021-005
Veröffentlicht: 11.05.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Eine gemeldete Sicherheitslücke hat gezeigt, dass Envoy die maskierten Schrägstrich-Sequenzen Was soll ich tun?
Wenn Backend-Server Welche Verhaltensänderungen wurden eingeführt?Die Optionen normalize_path und angrenzende Schrägstriche zusammenführen von Envoy wurden aktiviert, um andere gängige Sicherheitslücken im Zusammenhang mit der Verwechslung von Pfaden in Envoy-basierten Produkten zu beheben. |
Hoch |
CVE-2021-29492 |
GCP-2021-004
Veröffentlicht: 06.05.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
In den Envoy- und Istio-Projekten wurden kürzlich mehrere neue Sicherheitslücken gemeldet (CVE-2021-28683, CVE-2021-28682 und CVE-2021-29258), die es einem Angreifer ermöglichen könnten, Envoy abstürzen zu lassen. In Google Kubernetes Engine-Clustern wird Istio nicht standardmäßig ausgeführt und daher sind sie nicht anfällig. Wenn Istio in einem Cluster installiert und so konfiguriert ist, dass Dienste im Internet verfügbar sind, können diese Dienste anfällig für Denial-of-Service-Angriffe sein. Google Distributed Cloud Virtual for Bare Metal und GKE on VMware verwenden Envoy von Standardeinstellung für Ingress, sodass Ingress-Dienste anfällig für . Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel |
GCP-2021-003
Veröffentlicht: 19.04.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Das Kubernetes-Projekt hat vor Kurzem eine neue Sicherheitslücke (CVE-2021-25735) bekanntgegeben. Damit können Knoten-Updates einen validierenden Zulassungs-Webhook umgehen.
In einem Szenario, in dem ein Angreifer ausreichende Berechtigungen hat und in dem ein validierender Zulassungs-Webhook implementiert ist, der alte Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
Mittel |
GCP-2021-002
Veröffentlicht: 05.03.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im VMware-Sicherheitshinweis VMSA-2021-0002 hat VMware Berichte über mehrere Sicherheitslücken in VMware ESXi und vSphere Client (HTML5) erhalten. VMware hat Aktualisierungen vorgenommen, um diese Sicherheitslücken in den betroffenen VMware-Produkten zu beheben. Wir haben uns der offiziell dokumentierten Problemumgehung für den vSphere-Stack entsprechend dem VMware-Sicherheitshinweis bedient. Mit diesem Update werden Sicherheitslücken behoben, die in CVE-2021-21972, CVE-2021-21973 und CVE-2021-21974 beschrieben sind. Auswirkungen auf VMware EngineUnsere Untersuchungen haben ergeben, dass davon keine Kunden betroffen waren. Was soll ich tun?Da VMware Engine-Cluster von dieser Sicherheitslücke nicht betroffen sind, sind keine weiteren Maßnahmen erforderlich. |
Kritisch |
GCP-2021-001
Veröffentlicht: 28.01.2021Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Linux-Dienstprogramm Die zugrunde liegende Infrastruktur, auf der Compute Engine ausgeführt wird, ist von dieser Sicherheitslücke nicht betroffen. Alle Google Kubernetes Engine (GKE), GKE on VMware, GKE on AWS und Google Distributed Cloud Virtual for Bare Metal-Cluster sind von dieser Sicherheitslücke nicht betroffen. Anleitungen und weitere Informationen finden Sie in folgenden Sicherheitsbulletins: |
– | CVE-2021-3156 |
GCP-2020-015
Veröffentlicht: 07.12.2020Aktualisiert: 22.12.2020
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Aktualisiert: 22.12.2021 Der Befehl für GKE
sollten Sie im folgenden Abschnitt
gcloud container clusters update –no-enable-service-externalips Aktualisiert: 15.12.2021 Für GKE wurde die folgende Abhilfemaßnahme jetzt eingeführt verfügbar:
Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> Härtung der Clustersicherheit. Das Kubernetes-Projekt entdeckte kürzlich eine neue Sicherheitslücke, CVE-2020-8554, die es einem Angreifer, der Berechtigungen erhalten hat, ermöglichen kann, einen Kubernetes-Dienst vom Typ LoadBalancer oder ClusterIP zu erstellen, um Netzwerkverkehr abzufangen, der von anderen Pods im Cluster stammt. Diese Sicherheitsanfälligkeit allein gibt einem Angreifer keine Berechtigung zum Erstellen eines Kubernetes-Dienstes. Alle Google Kubernetes Engine (GKE), GKE on VMware und GKE on AWS-Cluster sind von dieser Sicherheitslücke betroffen. Wie gehe ich am besten vor?Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel |
CVE-2020-8554 |
GCP-2020-014
Veröffentlicht: 20.10.2020Zuletzt aktualisiert: 20.10.2020
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Beim Kubernetes-Projekt wurden unlängst mehrere Probleme entdeckt, durch die es zur Offenlegung von Secret-Daten kommen kann, wenn Optionen für das ausführliche Logging aktiviert sind. Die Probleme sind:
Was soll ich tun?Aufgrund der Standardebenen für das ausführliche Logging von GKE sind keine weiteren Maßnahmen erforderlich. |
– |
Auswirkungen auf Google Cloud
Details zu den einzelnen Produkten sind unten aufgeführt.
Produkt |
Auswirkungen |
---|---|
Google Kubernetes Engine (GKE) ist nicht betroffen. |
|
GKE On-Prem ist nicht betroffen. |
|
GKE on AWS ist nicht betroffen. |
GCP-2020-013
Veröffentlicht: 29.09.2020Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-1472: Durch eine Sicherheitslücke in Windows Server können Angreifer mit dem Netlogon Remote Protocol eine speziell entwickelte Anwendung auf einem Gerät im Netzwerk ausführen. |
NVD Base Score: 10 (Kritisch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-1472 |
Google Kubernetes Engine |
CVE-2020-1472 |
Managed Service for Microsoft Active Directory |
CVE-2020-1472 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2020-012
Veröffentlicht: 14.09.2020Zuletzt aktualisiert: 17.09.2020
Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Im Linux-Kernel wurde eine Sicherheitslücke entdeckt, die unter CVE-2020-14386 beschrieben ist. Damit kann Container-Escape Root-Berechtigungen für den Hostknoten erhalten. Alle GKE-Knoten sind betroffen. In GKE Sandbox ausgeführte Pods können diese Sicherheitslücke nicht nutzen. Eine Anleitung und weitere Informationen finden Sie unter: Welche Sicherheitslücke wird mit diesem Patch behoben? Der Patch entschärft die folgende Sicherheitslücke: Die Sicherheitslücke CVE-2020-1386 Dadurch können Container mit CAP_NET_RAW 1 bis 10 Byte des Kernel-Speichers schreiben, den Container möglicherweise meiden und Root-Berechtigungen auf dem Hostknoten erhalten. Der Schweregrad dieser Sicherheitslücke ist "Hoch". |
Hoch |
GCP-2020-011
Veröffentlicht: 24.07.2020Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Bei Kubernetes wurde vor Kurzem eine Sicherheitslücke im Netzwerk, CVE-2020-8558, entdeckt. Dienste kommunizieren manchmal über die lokale Loopback-Schnittstelle (127.0.0.1) mit anderen Anwendungen, die im gleichen Pod ausgeführt werden. Diese Sicherheitslücke ermöglicht einem Angreifer mit Zugriff auf das Netzwerk des Clusters, Traffic an die Loopback-Schnittstelle von angrenzenden Pods und Knoten zu senden. Dienste, die darauf angewiesen sind, dass die Loopback-Schnittstelle außerhalb ihres Pods nicht zugänglich ist, könnten ausgenutzt werden. Eine Anleitung und weitere Informationen finden Sie unter: |
Niedrig (GKE und GKE on AWS), |
GCP-2020-010
Veröffentlicht: 27.07.2020Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-1350 – Windows-Server, die in einer DNS-Serverkapazität bereitgestellt werden, können zum Ausführen nicht vertrauenswürdiger Code über das lokale Systemkonto genutzt werden. |
NVD Base Score: 10.0 (Kritisch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-1350 |
Google Kubernetes Engine |
CVE-2020-1350 |
Managed Service for Microsoft Active Directory |
CVE-2020-1350 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2020-009
Veröffentlicht: 15.07.2020Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Vor Kurzem wurde in Kubernetes eine Sicherheitslücke zur Rechteausweitung, CVE-2020-8559, entdeckt. Diese Sicherheitslücke ermöglicht es einem Angreifer, der bereits einen Knoten manipuliert hat, in jedem Pod im Cluster einen Befehl auszuführen. Der Angreifer kann dadurch mit dem bereits manipulierten Knoten andere Knoten manipulieren und potenziell Informationen lesen oder destruktive Aktionen ausführen. Damit ein Angreifer diese Sicherheitslücke ausnutzen kann, muss bereits ein Knoten im Cluster manipuliert worden sein. Diese Sicherheitslücke allein beeinträchtigt also noch keine Knoten in Ihrem Cluster. Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel |
GCP-2020-008
Veröffentlicht: 19.06.2020Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
BeschreibungVMs, für die OS Login aktiviert ist, sind potenziell anfällig für Sicherheitslücken in Bezug auf die Rechteausweitung. Durch diese Sicherheitslücken bekommen Nutzer, die OS Login-Berechtigungen ohne Administratorzugriff erhalten haben, die Möglichkeit, zum Root-Zugriff in der VM zu eskalieren. Anleitungen und weitere Informationen finden Sie im Compute Engine-Sicherheitsbulletin.
|
Hoch |
GCP-2020-007
Veröffentlicht: 01.06.2020Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Serverseitige Anfragefälschung (Server Side Request Forgery, SSRF), CVE-2020-8555, wurde kürzlich in Kubernetes entdeckt und ermöglicht bestimmten autorisierten Nutzern, bis zu 500 Byte vertraulicher Informationen aus dem Hostnetzwerk der Steuerungsebene abzurufen. Die Google Kubernetes Engine-Steuerungsebene (GKE) verwendet Controller von Kubernetes und ist daher von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, die Steuerungsebene auf die neueste Patch-Version zu aktualisieren. Ein Knotenupgrade ist nicht erforderlich. Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel |
GCP-2020-006
Veröffentlicht: 01.06.2020Beschreibung
Beschreibung | Schweregrad | Hinweise |
---|---|---|
Kubernetes hat eine Sicherheitslücke entdeckt, die es einem berechtigten Container ermöglicht, Knoten-Traffic an einen anderen Container weiterzuleiten. Gegenseitiger TLS/SSH-Traffic, z. B. zwischen dem Kubelet und dem API-Server oder Traffic von Anwendungen, die mTLS verwenden, kann durch diesen Angriff nicht gelesen oder geändert werden. Alle GKE-Knoten (Google Kubernetes Engine) sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, ein Upgrade auf die neueste Patch-Version durchzuführen. Eine Anleitung und weitere Informationen finden Sie unter: |
Mittel |
GCP-2020-005
Veröffentlicht: 07.05.2020Beschreibung
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
Vor Kurzem wurde im Linux-Kernel eine Sicherheitslücke entdeckt, die unter CVE-2020-8835 beschrieben wird. Sie ermöglicht Container-Escape, Root-Berechtigungen auf dem Hostknoten zu erhalten. GKE-Ubuntu-Knoten (Google Kubernetes Engine) mit GKE 1.16 oder 1.17 sind von dieser Sicherheitslücke betroffen. Wir empfehlen Ihnen, so bald wie möglich ein Upgrade auf die neueste Patchversion durchzuführen. Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin. |
Hoch |
GCP-2020-004
Veröffentlicht: 31.03.2020Zuletzt aktualisiert: 31.03.2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im Sicherheitsbulletin zu GKE on VMware.
GCP-2020-003
Veröffentlicht: 31.03.2020Zuletzt aktualisiert: 31.03.2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11254 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
GCP-2020-002
Veröffentlicht: 23.03.2020Zuletzt aktualisiert: 23.03.2020
Beschreibung
Kubernetes hat die folgenden Sicherheitslücken bekanntgegeben:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-8551 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die das Kubelet betrifft. |
Mittel |
|
CVE-2020-8552 – Dies ist eine DoS-Sicherheitslücke (Denial of Service), die den API-Server betrifft. |
Mittel |
Weitere Informationen und Anleitungen finden Sie im GKE-Sicherheitsbulletin.
GCP-2020-001
Veröffentlicht: 21.01.2021Zuletzt aktualisiert: 21.01.2020
Beschreibung
Microsoft hat die folgende Sicherheitslücke entdeckt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2020-0601 – Diese Sicherheitslücke wird auch als Windows Crypto API-Spoofing-Sicherheitslücke bezeichnet. Sie könnte dazu genutzt werden, bösartige ausführbare Dateien vertrauenswürdig zu machen oder dem Angreifer Man-in-the-Middle-Angriffe zu ermöglichen und vertrauliche Informationen über Nutzerverbindungen mit der betroffenen Software zu entschlüsseln. |
NVD Base Score: 8,1 (hoch) |
Weitere Informationen finden Sie in der Microsoft-Bekanntmachung.
Auswirkungen auf Google Cloud
Die Infrastruktur, in der Google Cloud und Google-Produkte gehostet werden, ist von dieser Sicherheitslücke nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2020-0601 |
Google Kubernetes Engine |
CVE-2020-0601 |
Managed Service for Microsoft Active Directory |
CVE-2020-0601 |
Google Workspace |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
App Engine-Standardumgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Flexible App Engine-Umgebung |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Run |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Functions |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud Composer |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataflow |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Dataproc |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
Cloud SQL |
Auf Kundenseite sind keine Maßnahmen erforderlich. Dieser Dienst ist von dieser Sicherheitslücke nicht betroffen. |
GCP-2019-001
Veröffentlicht: 12.11.2019Zuletzt aktualisiert: 12.11.2019
Beschreibung
Die folgenden Sicherheitslücken wurden von Intel offengelegt:
Sicherheitslücke |
Schweregrad |
CVE |
---|---|---|
CVE-2019-11135 — Diese Sicherheitslücke mit der Bezeichnung TSX Async Abort (TAA) kann zur spekulativen Ausführung innerhalb einer TSX-Transaktion genutzt werden. Diese Sicherheitslücke bringt das Risiko mit sich, dass Daten Angriffen über dieselben mikroarchitektonischen Datenstrukturen ausgesetzt sind wie durch Microarchitectural Data Sampling (MDS). |
Mittel |
|
CVE-2018-12207 — Dies ist eine DoS-Sicherheitslücke (Denial of Service), die Host-VMs betrifft (nicht aber Gast-VMs). Das Problem ist als "Machine Check Error on Page Size Change" bekannt. |
Mittel |
Weitere Informationen finden Sie in den Sicherheitshinweisen von Intel:
Auswirkungen auf Google Cloud
Die Infrastruktur, in der die Google Cloud- und Google-Produkte gehostet werden, ist von diesen Sicherheitslücken nicht betroffen. Weitere produktspezifische Informationen finden Sie unten.
Produkt |
Auswirkungen |
---|---|
Compute Engine |
CVE-2019-11135 CVE-2018-12207 |
Google Kubernetes Engine |
CVE-2019-11135 CVE-2018-12207 |
App Engine-Standardumgebung |
Es sind keine weiteren Maßnahmen erforderlich. |
Flexible App Engine-Umgebung |
CVE-2019-11135 CVE-2018-12207 |
Cloud Run |
Es sind keine weiteren Maßnahmen erforderlich. |
Cloud Functions |
Es sind keine weiteren Maßnahmen erforderlich. |
Cloud Composer |
Es sind keine weiteren Maßnahmen erforderlich. |
Dataflow |
CVE-2019-11135 CVE-2018-12207 |
Dataproc |
CVE-2019-11135 CVE-2018-12207 |
Cloud SQL |
Es sind keine weiteren Maßnahmen erforderlich. |